optimiertes Verhalten

Wer einen Server für sich selbst und/oder für Freunde und Kunden betreibt kennt das vielleicht. Die unzähligen Skriptkiddies versuchen sich Zugang zum Server zu verschaffen um ein wenig Spass zu haben. Botnetze versuchen das gleiche, jedoch nicht zum Spass sondern um die Ressourcen des Servers für ihre eigenen Zwecke zu nutzen, z.B. um Spam zu versenden.

In der Vergangenheit hab ich öfter mal beobachtet, wie ganze Botnetze, also mehrere Rechner gleichzeitig, versucht haben, sich bei mir in die einzelnen Services mit teilweise recht abenteuerlichen Benutzerdaten einzuloggen. Wenn so ein Loginversuch gescheitert ist, wurde gleich der nächste Versuch gestartet. Nach einigen Fehlversuchen war das meinem Server zu Dumm und er hat die Quell-IP-Adresse für eine gewisse Zeit gesperrt. In der Regel hat der andere dann die Lust verloren und ist weiter gezogen.

Heute habe ich mehrere fehlerhafte Login-Versuche in meinen Logfiles gefunden, die von ganz unterschiedlichen IP-Adressen von alle Kontinenten kamen. Aber alle gingen nach dem gleichen Muster vor:

  1. Zustellversuch einer eMail an eine beliebige eMailadresse auf Domains, die bei mir gehostet sind. Dieser wurde vor dem einliefern einer kompletten Mail abgebrochen, so das keine Mail zugestellt wurde
  2. wenige Sekunden Später kam von der gleichen IP-Adresse ein Login-Versuch mit der unter 1. benutzen Mailadresse
  3. Wenn der Login fehl schlägt erfolgt ca. 2-3 Stunden später der nächste Versuch von der gleichen IP-Adresse aus

Aufgefallen ist mir das, als mir mein Logcheck mehrere Login-Versuche auf existente und nicht existente Postfächer meldete. Bei der näheren Analyse der Logfiles viel mir dann das o.g. Muster auf. Der Grund, warum hier auch nicht existente Postfächer auftauchen ist der Tatsache geschuldet, dass ich meinen Kunden und mir die Möglichkeit gebe, Catchall-Postfächer einzurichten. In die werden sämtliche Mails an Mailadressen einer Domain zugestellt, für die kein Postfach und keine Weiterleitung definiert ist.

Die 2-3 Stunden Abstand zwischen den einzelnen Loginversuchen dienen lediglich dazu, nicht automatisiert aufzufallen.

Das vorgehen nenne ich mal ein optimiertes Verhalten für ein Botnetz, auch wenn ich noch Optimierungspotenzial sehe.