Suche

Oh man. jetzt habe ich hier so lange nichts sinnvolles gebloggt und dann ist der aktuelle Post auch noch von diesem Inhalt.

Irgendwie hat sich jemand meines Passwortes für die E-Mail-Adresse spam@mastente de bemächtigt und hat seit gestern Abend reichlich Spam versandt.
Aufgefallen ist das bei mir durch zahlreiche Unzustellbarkeitsnachrichten (Maildelivery Messages) die sich seit gestern in meiner Postbox tummeln.

Es gab auch schon böse Antworten, die mit Anzeige drohen, da hab ich dann gern noch einmal ein paar persönliche Zeilen geantwortet.

Zugegebenermaßen ist mir noch unklar, wie mir das Passwort abhanden gekommen ist. Ich werd dann erst mal viel Zeit damit zu verbringen, meine System auf Schadcode zu prüfen. Das Passwort für das E-Mail-Konto habe ich bereits umbenannt, so dass kein weiterer Spam versandt werden kann. Na herzlichen Glückwunsch.

Es ist erschreckend zu sehen, wieviele Webseiten kompromittiert werden. Ob es sich dabei um Statische Webinhalte handelt oder um Skripte, spielt dabei keine Rolle. Joomla ist bei den Content Management Systemen ein sehr beliebtes Opfer und ich habe in meiner Zeit bei einem Webhoster schon echt viel und regelmäßig zu sehen bekommen.

In letzter Zeit kommt es immer wieder dazu, dass WordPress Blogs kompromittiert werden. Bisher bin ich seit gut sechs Jahren davon verschont geblieben. Nicht zuletzt, weil ich darauf achte, dass die Version immer aktuell ist, ein sicheres Passwort genutzt wird und meine Rechner nahezu immer frei von Schadcode waren. Dies sind genau die drei häufigsten Ursachen für Veränderungen von Skripten.
Leider gibt es eine Lücke, welche WordPress selbst noch nicht geschlossen hat, nämlich der Login. Dass man den Standardbenutzernamen „admin“ nicht nutzen sollte, dürfte wohl auf der Hand liegen, denn somit hätte ein Angreifer schon mal 50% der Zugangsdaten im Sack. Darüber hinaus sollte in den Nutzereinstellungen der Name vom Benutzernamen abweichen. Somit wird der Login Name auch nicht unter jedem geschriebenem Beitrag dargestellt ;)

Und dann bleibt da noch das Passwort. Über ein sicheres Passwort streitet man sich, ähnlich wie über Geschmack. Ich persönlich bevorzuge Passwörter die mindestens acht Zeichen lang sind, aus Buchstaben (groß und klein), Ziffern und Sonderzeichen bestehen. Dabei sollte es sich im Idealfall um eine vollkommen zufällig erstellte Zeichenkette, wie z.B. D6klM$8b&rz handeln. Wenn man sich kein Passwort ausdenken möchte, kann man sich hier eines generieren lassen.
Prima sind auch Passwörter die einfach aus verschiedenen Worten zusammengeschrieben werden. Da solche Wörter in der Regel nicht in unserem Sprachgebrauch existieren sind diese nicht nur durch ihre Gesamtlänge ziemlich sicher, z.B. GarDineAuToSchuhLamPe

Häufig wird versucht sich das Passwort über sogenannte Schadsoftware anzueignen. Um sich davor zu schützen, ist es notwendig den eigenen Rechner sauber zu halten. Hierbei helfen Firewall, Portscanner und regelmäßige Antiviruskontrollen.

Wenn der Username jedoch bekannt ist, so können z.B. über Skripte Passwörter nach dem Try & Error erraten werden. Skripte gleichen hierbei einen umfangreichen Schatz an Passwörten und Wörtern ab. Hierbei handelt es sich um Bruteforce Angriffe.

Leider bietet WordPress von Haus aus keinen Schutz vor Bruteforce Angriffen und gerade momentan scheinen viele (Skripte) unterwegs zu sein. Ich habe durch die Installation eines Plugins meine Blogs vor solchen Hackerversuchen geschützt. Bei Limit Login Attempts handelt es sich um ein sehr einfach zu konfigurierendes Plugin. Es wird die maximale Anzahl der Fehlversuche festgelegt. Wird diese erreicht, wird die IP Adresse des Angreifers für einen definierten Zeitraum gesperrt. Auf Wunsch kann man sich über diese Anmeldeversuche per E-Mail informieren lassen. Das Plugin kann über das ControlPanel gefunden und installiert werden.

Sollte jemand mehrere WordPress Seiten verwalten, dürfen die Nutzernamen und Passwörter ruhig abweichend und wechselnd sein. Dies gilt natürlich nicht nur für das eigene Blog sondern für alle Seiten auf denen man sich registrieren kann.

Fazit: Es ist erschreckend wie leichtsinnig Passwörter vergeben und ein wenig kreativ darf man dabei schon sein. Ein zusätzlicher Schutz der eigenen Webseiten schadet in der Regel nie.

So das war´s. Durch einen Fehler am gestrigen Abend, habe ich mich ganz erfolgreich aus meinem ICQ-Account ausgesperrt. Die Passworterinnerungsfunktion kann man getrost vergessen, wenn das Konto, so wie meines, mindestens 10 Jahre alt ist. Sorry, aber ich weiß nicht mehr welche E-Mail ich da damals angegeben habe und ob ich den entsprechenden Account überhaupt noch besitze.
Ich habe dann mal alles ausprobiert was mir an E-Mail-Adressen so eingefallen ist, aber laut ICQ stimmt keine.
Na gut, das war´s dann. Den Weg über den ICQ Support kann ich mir getrost sparen, die große Suchmaschine ist voll von vergleichbaren Problemen.
Ganz so schlimm ist es ja eigentlich auch nicht, denn letztendlich waren es ja nur noch eine Handvoll Leute, mit denen ich, und auch nur nach Absprache, über ICQ kommuniziert habe.
Künftig werden wir dann wohl auf Dienste wie Google Talk, Jabber oder Skype zurückgreifen müssen aber ich bin mir ganz sicher, dass wegen dieser blöden Geschichte die Welt nicht untergeht.

Ach ja: Sollte es unter meinen Lesern findige Hacker geben, habe ich natürlich kein Problem damit, wenn mich doch noch jemand zurück zu meinen Account führt. Die Nummer war ist 91741274