Moin!

In meinem Access-Log finde ich heute morgen 1130 Einträge von Versuchen, eine über .htaccess geschützte Seite aufzurufen:

Sowas passiert.

Was kann ich weiter tun, um mit einem vertretbaren Aufwand gegen den Angreifer vorzugehen?

Scanne ihn. Du hast doch einen Portscanner, oder? Vielleicht kriegst du ja Kontakt zu seinen Serverdiensten (SMB ist immer gerne genommen), und auch zu seinen öffentlich angebotenen Word-Dokumenten mit Telefonnummer. Ein Anruf, und die Panik dürfte ihm ins Gesicht geschrieben stehen.

Naja, wenn das Scannen nichts bringt, dann ignoriere den Kerl. Wenn deine Sicherheitsmaßnahmen gut genug sind, kannst du doch ohnehin ruhig schlafen. Das sind sie doch, oder? Ansonsten solltest du die nochmal einer genaueren Prüfung unterziehen.

Du kannst natürlich die IP-Adresse des Angreifers sperren. Bei der nächsten dynamischen Zuweisung der IP-Adressen hat er dann eine neue, und das Spiel geht von vorne los.

Oder du verlagerst den gesicherten Bereich URL-mäßig einfach woanders hin und packst an die alte Stelle stattdessen eine öffentliche Hinweisseite - der Mensch wird von seinem Tool eine Erfolgsmeldung erhalten und dann sehen, daß er doch entdeckt wurde. Mach auf dieser Seite ein wenig Angst, schreib, daß der Provider informiert wurde etc.

Andererseits kannst du vielleicht denselben Effekt speziell für diese IP-Adresse mit mod_rewrite auch erreichen: Alle Zugriffe dieses Rechners werden umgebogen auf eine andere, öffentlich zugängliche URL.

Generell: Es wird sehr viel an den Türen gerüttelt im Internet. Portscans sind an der Tagesordnung - und es ist strittig, ob das schon ein böser Angriff ist (ich meine: Nein). Wer allerdings in offenbar aufdringlicher Absicht viele Usernamen/Paßwort-Kombinationen durchprobiert, der rüttelt nicht nur an der Tür, der setzt schon ein Brecheisen an. Und sowas ist böse. Das Überwinden einer Paßwortsperre ist ein Straftatbestand.

- Sven Rautenberg