Ok, es gibt schon Möglichkeiten, genau meinen Rechner -als einen von vielen- sofort direkt anzugreifen, wenn er ins Netz geht.
[...]
Richtig spannend finde ich das hier:
Das hatte ich ja in #28 beschrieben.
Niemand wird mutwillig deinen Rechner und deine IP angreifen. Aber es gibt hinreichend viele Menschen, die automatisierte Systeme laufen haben, welche systematisch IP-Adress-Ranges nach offenen Ports absuchen und wenn sie einen finden die Dienste dahinter evaluieren und ausprobieren, ob gängige Sicherheitslücken vorhanden sind.
Stichworte sind also "exponiert" (exponiert heißt, dass du entweder keinen Router benutzt oder dass im Router die Portweiterleitung aktiviert ist, sodass Anfragen von außen weitergeleitet und nicht geblockt werden) und "offene Ports" (sprich: exponiert
und der Paketfilter auf dem exponierten System verweigert die Verbindung nicht
und auf dem Port lauscht ein erreichbarer Service). Spätestens, wenn man sowas betreibt (oder keinen Router benutzt - was gleichbedeutend damit ist, dass sämtliche Ports zumindest exponiert sind und an sehr vielen Ports lauschen bei einem Standard-Windows irgendwelche Dienste, sei es nun der Druckerdienst oder der Samba-Share) sollte die verwendete Software also auch eine sein, die sehr regelmäßig gewartet wird. Weil wenn ein System exponiert ist, dann ist nicht die Frage, ob es irgendwann bekannte Sicherheitslücken gibt, sondern wann es diese gibt. Und bis diese bekannt werden hat der Hersteller hoffentlich schon gepatched.
Das Stimmt sicher, wobei nur eine geblockte IP auch nicht glich die Vollkatastrophe bedeuten muss.
Grüße Thomas
Nein, absolut nicht. Es war die erste von vielen. Manchmal laufen die Logs in Router und auf dem System über vor Fremdzugriffen und manchmal ist es ruhiger.
Es sollte nur aufzeigen, wie lange es dauert, bis eine exponierte Software gefunden wird und wie schnell dann versucht wird, darauf ungewöhnlich zuzugreifen (fail2ban sperrt ja die IP nicht, weil sie "Mal vorbei gesurft" ist, sondern weil entweder sehr viele Anfragen in schneller Folge auf einem oder unterschiedlichen Ports kommen, oder weil in schneller Folge Fehlversuche in der Anmeldemaske getätigt werden - entweder versucht also jemand meine IP auf alle offenen Ports zu scannen und angreifbare Software zu finden, oder jemand versucht z.B. an die .htaccess oder die MariaDB zu kommen, oder jemand versucht meine Accounts zu Brute-Forcen).
Schlimm ist das nicht und kein Grund ein System vom Netz zu trennen, solange es auf aktuellem Patchstand ist. Aber es zeigt eben, dass es im Zweifel nicht viel bringt, den Rechner "nur mal eben schnell" online zu bringen.
MSBlast hat z.B. damals in unserem Wohnheim keine 2 Sekunden gebraucht um ein ungepatchetes Windows XP zu befallen, das neu ins Netzwerk kam (da ist meine Stichprobe recht groß, da ich anderen Bewohnern geholfen habe ihre Rechner zu säubern, patchen und die Netzwerkdose wieder freizuschalten).
Ich will auch keine Horroszenarien malen.
1. Ist in den meisten Haushalten immernoch ein Router zwischen PC und Internet, was gleichbedeutend mit einer rudimentären Firewall ist. Dieser Router müsste erstmal erfolgreich angegriffen werden, bevor man an den PC kommt (oder der Benutzer hat halt gedankenverloren Portweiterleitungen eingerichtet) und da Router 24/7 Angriffen ausgesetzt sind sind sie meistens auch halbwegs gut vom Hersteller gewartet.
2. Selbst ein kompromittierter Rechner kann immer noch wenig anrichten, wenn er nur für kurze Zeiten im Netz hängt und solange keine sensiblen Aktionen darauf ausgeführt werden. Wenn alle anderen Rechner im Netz "unangreifbar" und auf diesem Rechner keine großartig wichtigen Daten sind, dann soll die Schadsoftware sich halt auf dem Rechner austoben. Who cares? Homebanking würde ich mit einem Windows 7 oder XP heutzutage halt unterlassen und da dann lieber extra dafür einen Linux-Rechner nutzen, wenn es denn nichts kosten darf und ich mich Linux absolut nicht klar komme. Zum Bedienen eines Browsers sollte es noch reichen.