serverSo langsam nervt es….

Wer selbst einen Server betreibt, der kennt das Phänomen. Beinahe stündlich versucht ein Bot mit irgend einer komischen IP aus Hinter-Der-Welt mehr oder weniger bekannte Hintertürchen auf einem Server zu finden. Desto älter und bekannter eine Webseite wird, desto mehr Angriffe gibt es.

Doch was seit Anfang Februar auf den Servern hinter blog.stromhaltig ist irgendwie anders, es ist gezielter – mit deutlich mehr Wissen über die Anwendungen und das Fachgebiet mit denen man sich hier beschäftigt.

Stunde um Stunde vergehen, die nicht nicht in die Recherche von Beiträgen oder das eigentliche Schreiben fließen, sondern in Administration des Servers. Zeit, die keiner zahlt…

Der Betrieb eines Dienstes im Internet ist nicht sonderlich schwer. Man muss etwas auf Firewall, Backups und regelmäßige Aktualisierung der eingesetzten Tools achten. Läuft alles rund, dann ist die Pflege eines Blogs oder einer Webanwendung ein Kinderspiel, bei dem man sich auf die fachlichen Herausforderungen des Themenbereichs fokussieren kann.

Finanziell zahlt sich blog.stromhaltig mit den angeschlossenen Diensten nicht aus, allerdings kommt man in einem Fachbereich weiter und kann wichtige Kontakte knüpfen. Häufig hat die Arbeit hinter diesem Blog etwas von Grundlagenforschung, die in weiter ferne von anderen Medien aufgegriffen und massen-tauglich verpackt, publiziert wird.

Entschuldigung!

In den letzten Tagen/Wochen war die Webseite, der Strommix Navigator, Die Zinsuhr und der Grünstrom-Index häufig nicht verfügbar. Grund war, dass der Server, der aus dem Internet erreichbar ist, schlicht überlastet war.

An dieser Stelle beginnt die Besonderheit….

Eine Art des Angriffs auf eine Webseite ist, dass man mit entsprechenden Webseiten zum Beispiel den Strommix-Navigator automatisiert abruft und so sich eine Kopie für eigene Zwecke erstellt. So geschehen … im 0,5 Sekunden/Takt hat jemand alle 5-Stelligen Zahlen versucht durchzuprobieren – anstelle zumindest nur die gültigen Postleitzahlen zu verwenden. So etwas passiert häufig, die Webseite ist auf solche Fälle vorbereitet.

Selbes Spiel mit dem Grünstrom-Index, wobei hier auch noch eine Aktualisierungsrate von 60 Minuten eingestellt wurde… – Diese Personen verwendeten das TOR-Netzwerk, von daher waren sie nicht sonderlich schnell und kam eigentlich nie mit ihren Anfragen durch.

Honigtopf

Webentwickler kennen die oben genannten Fällte nur zu gut, es gibt Mittel und Wege diese zu lösen. Der einfachste ist übrigens mit mir Kontakt aufzunehmen, denn vieles gibt es auf ganz einfache Art und darf legal verwendet und abgerufen werden.

Doch die Besonderheiten gingen weiter…

Unter einem Honigtopf bezeichnet man ein System, welches so tut als ob es eine bekannte Schwachstelle hat. In Wirklichkeit protokolliert man alles mit, was ein Eindringling versucht auf dem Rechner zu machen.

Wieder ein Zugriff aus dem TOR-Netzwerk …

Es macht „BING“ auf meinem Smartphone, welches mich benachrichtigt, sobald jemand einen der vielen Honigtöpfe eindringt. Der Eindringling sucht gezielt nach SmartMeter-Daten, Simulationen sowie Mails. Er lässt sich viel Zeit, macht aber keinen handwerklichen Fehler. Die Bash-Historie, die protokolliert, welche Befehle er ausführt wird sauber nach jedem Kommando gelöscht.

Ich simuliere einen Verbindungsabbruch und lege ein paar Daten hin. Der kommt wieder! – 48 Stunden später war es soweit. Leider hatte ich keine Möglichkeit in Echtzeit zu beobachten und musste anschließend auf mein Protokoll schauen. Die Suche nach Mails brachte nur belangloses. Den „grep“ über die gesamte Platte hätte er sich schenken können, führte zur ersten Performance-Einbuße des echten Systems, die dann auch noch einige Stunden andauerte. Er wartete geduldig… – leider auch die Leser des Blogs.

Im vergangenen wurden auf einem anderen Server sehr umfangreiche SmartGrid Experimente durchgeführt. Wie agiert das Netz auf Blindleistung, was sind die Vor/Nachteile einer dezentralen Erzeugung und welche Komplikationen gibt es im Netzbetrieb? – Eine Simulation, die einiges an Ressourcen benötigt. Der Honigliebhaber versucht an die Ergebnisse zu kommen und startet einige dieser Simulationen. Man wird dabei nach Parametern gefragt – das Erstaunliche: Die Werte, die er verwendet sind plausibel…. Der Mensch kennt sich mit Stromnetzen und Stromversorgung generell aus.

Ein Knödel Halb/Halb

Auch wenn der Eindringling immer der gleiche ist, wie man daran erkennen kann, dass das vorher erlernte beim nächsten Versuch angewendet wird, so konzentrieren sich seine Tätigkeiten auf zwei getrennte Handlungen: Entdeckungsreise und Sabotage.

Gerade versucht der Eindringling ein künstliches Neuronales-Netzwerk (in diesem Beitrag beschrieben) neu aufbauen zu lassen, da läuft in einem anderen Fenster bei ihm eine Suche nach „zinsuhr.php“. Ich schaffe es gerade noch die Datei in den Honigtopf zu legen…

Der Rechner für die nuklear/fossile Geldverbrennung wird editiert. Das Ergebnis: Es sollen überhaupt keine Zahlen mehr angezeigt werden. Ein „normaler“ Spammer hätte die Links verbogen auf irgend eine Schnudel-Seite. Ein Hacker hätte die Seite ausgetauscht und eine Grußbotschaft hinterlassen. Der Eindingling ersetzt aber einfach die Zahlen – sogar in der automatisch erstellten Grafik…

Respekt!

Er braucht weniger Zeit meinen Quellcode zu verstehen, wie ich selbst. Gefühlt wird etwa die Hälfte der Zeit für die Sabotage aufgewendet – die andere Hälfte wird nach Daten gesucht. Im Gespräch mit einigen Bekannten entsteht daher der Kosename Knödel Halb/Halb.

Strafverfolgung des Knödels

Mittlerweile ist klar, wer der Eindringling ist, wird sich nicht mit normalen Mitteln herausfinden lassen. Wer Auftraggeber zweimal nicht. Jetzt könnte man Anzeige erstatten, aber was für ein Schaden ist eigentlich entstanden? Keiner … – nur, dass der Server regelmäßig überlastet war und damit einige Leser Fehlermeldungen bekamen.

Ein Aufruf nach Spendengeldern bringt in Blogs nichts – daher lasse ich es. Wer weitere Bemühungen den Blog am Leben zu halten unterstützen will, der soll doch bitte eines meiner Bücher kaufen.

Sollte Knödel mitlesen, dann darf er sich gerne als Whistlblower für die Energiewende bei uns melden. Vielleicht bekommen wir sogar ein gutes Honorar hin…

Den Beitrag "In eigener Sache - Viel Energie für Serverangriffe.... offline Lesen:

4 Gedanken zu “In eigener Sache – Viel Energie für Serverangriffe….

  1. Warum betreiben Sie überhaupt einen eigenen Server? Das kann man doch recht günstig bei einem Provider hosten lassen (siehe z.B. bei webhostlist.de), denn so extrem viel Traffic dürfte der Blog doch nicht haben, oder? Zumal ja der Provider dann die Bots usw. bekämpft.

    Antworten
    • Also der Traffic ist über dem Freilimit der meisten Betreiber – neben der Webseite wird auf den Servern auch Simulations und Daten-Analyse Software betrieben. Das lässt kein Provider so zu.

      Antworten
  2. Pingback: Update – In einer Sache: Die Lage der Angriffe beruhigt sich… via blog.stromhaltig.de

Kommentar hinterlassen

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

benötigt