Aanvallen op PI4RAZ
Jullie hebben er zijdelings misschien al wat van meegekregen, maar de laatste weken liggen diverse websites onder vuur en/of gaan onderuit door aanvallen van buitenaf. De populariteit van de website van de Zoetermeerse Radioamateurs is ook allerlei schimmig volk niet ontgaan; we liggen zwaar onder vuur.
Zomaar wat entries uit de logging van de afgelopen dagen:
vsftpd:
Unknown Entries:
authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=213.194.149.130 : 896 Time(s)
vsftpd:
Unknown Entries:
check pass; user unknown: 3360 Time(s)
authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=213.194.149.130 : 3359 Time(s)
Dat zijn pogingen om via FTP op de site te komen; respectievelijk 896 en 3359 keer vanaf een IP adres – wat de site overigens logt. Zoek je in de RIPE database het IP-nummer 213.194.149.130 op, dan zie je dat dat adres in Spanje thuishoort. Dat adres heeft op 2 verschillende dagen geprobeerd om in te breken. Ook pogingen om wachtwoorden te stelen horen daarbij:
Attempts to use 1 known hacks were logged 2 time(s)
passwd by
66.249.72.139 2 time(s)
Het adres 66.249.72.139 hoort nota bene toe aan Google, volgens de ARIN database… En dan hebben we nog de enorme stroom van aanmeldingen van "nieuwe users" met vermoedelijk als achtergrond in de comments een stroom van links naar allerlei slaapkamer accessoires (en dan bedoel ik geen gordijnen) te plaatsen. Hier de lijst van aanmeldingen van de laatste dagen. Als iemand denkt dat hij niet bij de verdachten hoort, kan hij zich bij mij melden. Deze lijst krijgt van mij geen toestemming te commenten op de site.
+—————-+—————-+—————————+
| name | username | email |
+—————-+—————-+—————————+
| Creessuth | Creessuth | yxm∂jewellerygenerator.cn |
| enfonnorm | enfonnorm | unlassyclaino∂gmail.com |
| TageVobeLog | TageVobeLog | cypeheesesy∂gmail.com |
| SifeBreabearl | SifeBreabearl | frogfrabe∂gmail.com |
| vorpkalpell | vorpkalpell | epippoiligh∂gmail.com |
| cymndaccili | cymndaccili | qmv∂jaspertucson.cn |
| BillioAbratzzi | BillioAbratzzi | b.abratzi∂0hpbbforum.cn |
| Poockycroto | Poockycroto | waypedeme∂gmail.com |
| DyNctatoboync | DyNctatoboync | 567567rtyysb∂gmail.com |
| PriedsEdisa | PriedsEdisa | cnd∂statementsclock.cn |
| Ordepript | Ordepript | avecyvawencow∂gawab.com |
| arreteobe | arreteobe | sceclinue∂gawab.com |
| fapphange | fapphange | ohj∂subscriptionhilton.cn |
| MetNiseeDitly | MetNiseeDitly | rhl∂sinuscheapest.cn |
| appelmevy | appelmevy | bix∂camrycoloring.cn |
| Alteddirl | Alteddirl | iluhawegwege∂mail.ru |
| Kayadyancerce | Kayadyancerce | milsontom∂gmail.com |
| Undenelsott | Undenelsott | hje∂worldofcoke.cn |
| orievyoneve | orievyoneve | tomjonson∂gmx.us |
| joixexajepoca | joixexajepoca | jfiof∂mytop-in.net |
| alarlsect | alarlsect | eas∂dailygazette.cn |
+—————-+—————-+—————————+
Zoals je ziet zit er geen Nederlands station tussen: China, Rusland en gratis webmailsites voeren de boventoon. Het kost me een bere-hoop werk om de beveiliging up-to-date te houden en de website te beschermen. Mijn vraag aan alle lezers is dan ook als je verdachte dingen ziet op de site of merkt dat dingen anders reageren dan normaal, laat het me dan weten; ik kan niet dag en nacht op de site letten. Ik maak iedere nacht een backup van de site, maar hoe ouder de backup die ik moet terugzetten, hoe slechter het is voor de site…