Hacker Nerven

Wie kann man Hacker am besten nerven?

Nun, Hacker nerven. Ich bin zwar nicht der Crack auf dem Gebiet. Aber spätestens wenn man den eigenen Webserver betreibt, muss man sich damit auseinandersetzen.

Ein Sicherheitsmerkmal dieses Servers ist dass überhaupt kein CMS (Content Management System) wie z.B. WordPress verwendet wird, welches man hacken könnte. Des weiteren gibt es mit dem eigenen Home-Server den ultimativen Komfort direkt auf dem Server zu arbeiten. Somit entfällt auch die Notwendigkeit für den Remote-Zugang um die Webseiten zu veröffentlichen, was die Möglichkeiten für einen Angriff fast komplett ausschließt.

An den Log-Dateien kann man sehen, dass sich Angriffe in der letzten Zeit stark häufen. Und zwar versuchen Hacker ob man irgendwelche CMS-Tools am laufen hat. Dies sieht man daran, dass ständig versucht wird auf die Login Seite dieser CMS-Tools zu kommen, oder auch andere Informationen davon abzurufen.

Beispiel:

Es wird mit der Selben IP innerhalb weniger Sekunden auf verschiedene Verzeichnisse zugegriffen. Manchmal auch auf env, ini-, xml-Dateien, json-, sql-Datenbanken, asp-, cfm-, pl-, js- ,php-Scripts. Die Liste ist sehr sehr lang. Entsprechende Angriffe sieht man in den Log-Dateien indem man nach nach " 404 " sucht. Das ist der http Status der nicht vorhandenen Dateien.
Abgesehen davon, dass ich keine CMS-Tools verwende und damit die Angriffe sowieso sinnlos sind, ist es trotzdem ärgerlich, wenn die Log Dateien voll davon sind.

Versuche, die IP Adressen im .htaccess zu sperren, bringen nichts. Es sind ständig andere, was vermuten lässt, dass die Angriffe via Tor Netzwerk oder sogar durch Bot-Netze erfolgen.

Den Hacker informieren

Erst versuchte ich, den Hacker via Umleitung zu informieren, dass die Angriffe sinnlos sind. Dazu habe ich im .htaccess eine Umleitung für bestimmte Webdokumente eingetragen.
Beispiel Inhalt .htaccess:

Damit werden alle Aufrufe auf Dateien mit der Endung .php, .xml, .js, .asp, .env, .pl, .sql sowie auch Dateien oder Verzeichnisse mit dem Text "wp-" oder "wordpress" auf die Seite hack.html umgeleitet. Aber ich denke, das interessiert keinen. Vielleicht war es sogar ein Ansporn weiter zu versuchen.

Wichtig bei solchen Umleitungen ist, dass man seine Webseiten ausführlich testet. Sämtliche Textfragmente von Dateinamen, welche hier in der Liste ein stehen, würden umgeleitet. Also z.B. wp-grafik.jpg würde durch den Filter "wp-" erfasst und umgeleitet. Ist dies eine Grafik, welche z.B. im index.html enthalten ist, wird diese nicht mehr korrekt angezeigt. Mehr noch: Mit den Methoden weiter Unten beschrieben, würde der Nutzer der Webseite sogar komplett ausgesperrt.

Keine Antwort vom Server

Da oft mehrere Versuche innerhalb kurzer Zeit erfolgen, könnte es auch Sinn machen, die Anfrage einfach nicht zu beantworten. Also ein Server-Timeout, ohne Fehlermeldung. Dadurch kann der Hacker nicht einfach seine Liste mit einem Script abarbeiten lassen, da er ja für jede Anfrage die Antwort abwarten muss um zu wissen, welche Antwort kommt. Das geht so:
Im cgi-bin wird ein Script gespeichert, z.B. ein Bash-Script mit dem Beispiel-Namen hack, welches eine Pause von mehr als 60 Sekunden erzeugt.
Beispiel von /cgi-bin/hack:

Im .htaccess wird nun die Umleitung auf das Script angepasst, z.B. RewriteRule \.php /cgi-bin/hack [L].
Das heisst, die Versuche der Hacker enden in einem Script, welches keine Antwort gibt. Nach 60 Sekunden kommt dann automatisch ein Timeout.

Ich vermute mal, für den Hacker einigermaßen ärgerlich, da er ja nicht wirklich vorwärts kommt.
Zumindest laut meinen Log-Dateien sind die Angriffsversuche deutlich zurück gegangen.

Angriffe auf /cgi-bin/

Auch im Server /cgi-bin/ Verzeichniss kann man eine .htaccess Datei speichern welche entsprechende Aufrufe umleitet. Hier sind es vor allem .pl oder .cgi scripts. Aber auch hier, genau testen ob man sich nicht selber aussperrt. Verwendet man z.B. ein Mailer Script wie mail.pl oder mail.cgi, sollte man .pl bzw. .cgi nicht umleiten. Oder, man ändert den Namen z.B. auf mail.sh. Und natürlich sollte man in einem Feedback-Formular nicht den Namen des Mailer Scripts offen zeigen. Das wäre eine Einladung für die Hacker. Den Formularteil kann man ja Codieren z.B. mit dem Html Scrambler. Als Beispiel verweise ich auf meine Kontakt Seite. Nach dem öffnen, rechte Maustaste und "Seitenquelltext anzeigen" auswählen.