Alibaba und die automatischen Räuber

Kategorien Kurioses, Technik, veröffentlicht am Samstag, 7. Juli 2018, letzte Änderung: Montag, 30. Juli 2018

Als ob ich nicht genug zu schreiben hätte – und auch ganz ungezwungen dabei bin – hat mich ein spontanes Ereignis und der Einfall dieses Titels gerade gepackt es hier mitzuteilen und festzuhalten.

Heute morgen hatte ich eine E-Mail von meiner WordPress-Installation im Postfach, also der Software, mit der ich meine Webseite betreibe. Ihr Betreff war [Jan Dieckmann] Konto gesperrt. Sie traf kurz nach Mitternacht ein und hatte folgenden Inhalt:

Zu deiner Sicherheit wurde dein Konto gesperrt, da es zu viele fehlgeschlagene Anmeldeversuche gab.
Um das Konto zu entsperren, klicke bitte auf den folgenden Link: https://blog.jandieckmann.de/register/login/?action=unlock
Die folgenden Anmeldeversuche haben zur Sperrung geführt:
121.42.50.93 06.07.2018 22:07:03
121.42.50.93 06.07.2018 22:07:04
121.42.50.93 06.07.2018 22:07:05
121.42.50.93 06.07.2018 22:07:06
121.42.50.93 06.07.2018 22:07:07

Ich bin der Sache erst nicht weiter nachgegangen, da die Zeitangaben der Anmeldeversuche für einen automatisierten Vorgang spricht, einer pro Sekunde. Außerdem konnte ich mich direkt problemlos mit meinen bisherigen Zugangsdaten anmelden.

Sesam blieb geschlossen

Eben leitete mir ein anderer Benutzers meiner Webseite eine ähnliche Mail weiter, die bei ihm eine Stunde nach meiner eintraf. Daraufhin schaute ich die Liste der Benutzerkonten durch, konnte aber tatsächlich nur die Sperrung in diesem einen Fall feststellen und aufheben. Aus den vollständigen Links in den Mails schließe ich, dass die Anmeldung mit dem Benutzernamen und nicht mit der E-Mail-Adresse versucht wurde. Und in diesem Fall ist es möglich, dass der Benutzername aus der Liste der Kommentare gewonnen wurde.

Da es sich bei WordPress um ein freies und quelloffenes – ich nenne es mal Baukastensystem – handelt, ist es leicht vorstellbar einen Automatismus zu programmieren, der Internetadressen ansurft, prüft, ob sich eine WordPress-Installation dahinter verbirgt und sich an gewohnter Stelle die gewünschten Informationen befinden. Anschließend ruft das Programm die Standardadresse für die Anmeldung auf, setzt den gefundenen Benutzernamen ein und probiert eine Liste von gängigen Passwörtern aus. In diesem Fall nicht mehr als fünf, weil dann ein Schutzmechanismus gegriffen hat.

Die Seidenstraße entlang

Diese zweite Mail war für mich dann doch mal Anlass die mir mitgeteilte IP-Adresse mittels tracert zu prüfen. Dazu gab ich in die Eingabeaufforderung (cmd.exe) tracert 121.42.50.93 ein und schickte den Befehl ab. Dieser geht dann die einzelnen Stationen ab, die die Datenverbindung von meinem Computer bis zu dieser Zieladresse verläuft. Zumindest wird der Versuch unternommen und dabei auch Namen von Knotenpunkten aufgelöst, soweit möglich. Nach einer Weile tauchte in der Liste auch china auf, jedoch verlief das Signal wenige Schritte weiter im Leeren.

Ich war angespornt noch mehr herauszufinden und so suchte ich online nach und bekam direkt entsprechende Webseiten aufgelistet. Ich öffnete die ersten drei parallel, weil ich in solchen Fällen nicht die Geduld habe eine nach der anderen auszuprobieren und davon ausgehe, dass eine aus irgendeinem Grund nicht funktioniert, und gab überall die Adresse 121.42.50.93 zur Prüfung ein. Das Ergebnis führte mich immer ebenfalls nach China, aber detaillierter:

ISP: Aliyun Computing Co.
Organization: Hangzhou Alibaba Advertising Co.,Ltd.

Alibaba ist mir als chinesische eBay-Variante bekannt, jedenfalls ein großes Internetunternehmen dort drüben. Es gibt nun mehrere Möglichkeiten, die erklären, warum eine diesem Unternehmen zugeordnete IP-Adresse Anmeldungen und damit Übernahme von Webseiten versucht, aber soweit reicht es schon, um ziemlich sicher zu sein, dass es sich um einen automatisierten und willkürlichen Angriff handelt, der nicht im Benutzerfehlverhalten liegt.

wÄhlefÜrjedeSeite1gutesPasswoat!

Es zeigt sich damit einfach nur, wie wichtig es ist gute Passwörter zu verwenden und für jede Seite ein eigenes Passwort zu wählen, egal wie irrelevant die Seite auch für einen selber sein mag. Denn in der Regel erlaubt der Zugriff auf ein Benutzerkonto auch immer Zugriff auf die damit verbundene E-Mail-Adresse, die ja zwangsläufig überall benötigt wird. Und auf diese E-Mail-Adresse folgen dann die nächsten Angriffe und mit dem bereits erfolgreich verwendeten Passwort beginnt es.

Wenn sich so ein Vorfall wiederholt, werde ich mich darum bemühen weitere Vorkehrungen zu treffen, die den Angriff schon an früherer Stelle abwehren. Oft sind solche Maßnahmen jedoch damit verbunden, dass die gewöhnliche Nutzung weniger einfach und bequem wird.

Nachtrag: Zwar nicht von Alibaba, aber von Firmen wie Henan Telcom Union Technology Co. und Tencent cloud computing kamen weitere automatisierte Anmeldeversuche aus China. Deshalb habe ich nun die Standardadressen zur Registrierung und Anmeldung verändert. Das Meta-Widget auf der Startseite führte zur Registrierung eh schon auf eine andere Seite und mit dem Einladungscode konnte ich bislang verhindern, dass unnütze Benutzerkonten angelegt werden. Die dort verlinkte Anmeldeadresse ist nun auf https://blog.jandieckmann.de/willkommen geändert. Zusätzlich habe ich das a in meinem Vornamen oben auf jeder Seite mit der Seite https://blog.jandieckmann.de/eingang hinterlegt, die ebenfalls eine Anmeldung ermöglicht.

Schlagworte: Schlagwörter , ,

Schreibe einen Kommentar