Angriff auf das CMS dieser Website

ACHTUNG!
Diese Webseite wurde am 9. Januar 2014 mehrfach und erfolglos von den IP-Adressen 54.207.34.20 und 54.206.24.213 angegriffen!

Somit erfolgte der Angriff aus der Stadt Seattle im Bundesstaat Washington, USA.
Für Interessierte auf den Meter genau, Längengrad: -122.29949951172 und Breitengrad: 47.58390045166 für die IP-Adresse 54.207.34.20, die Firma wollte ich nicht nennen, aber siehe unten.
Weitere Angriffe von den IP-Adressen 54.207.34.20 und 54.209.113.17 am 10. Januar 2014.

Meine Reaktionen (MR) – aus Interesse habe ich nichts an meinen System verändert nur diese Meldung auf die Startseite [Frontpage] gesetzt.
Angreifer: Kein Nachlassen der Angriffe, eventuell weiss er nicht was eine IP-Adresse ist?
MR – Zeitlimit erhöht des erneuten Login-Versuches
Angreifer: Kein Nachlassen der Angriffe, ist er arbeitslos oder sein Arbeitgeber grosszügig?
MR – Um einer Brute-Force-Methode entgegen zu wirken:
• Zeitlimit auf utopisch gestellt
• IP-Adressen in htaccess gebannt
• Passwörter mit
– 32 Zeichen
– Leerzeichen
– Sonderzeichen
– Grossbuchstaben
– Kleinbuchstaben
– Minus
– Unterstrich
– Sonderzeichen
– unaussprechbar
– ähnlich diesem hier „YP#_z F[_-:“`~!}'(C“9T 2n.f@W]?gU^“ – Niemals Beispiel-Passwörter nutzen!
• 256 Bit Administrator-Namen
• 256 Bit Passwort
• und das ganze wird jetzt UNregelmässig erneuert

Wieviel Zeit kann theoretisch damit vernichtet werden?
Der Versuch einer Antwort mit einem Beispiel.

a. Zeichenvorrat
26 Kleinbuchstaben
26 Grossbuchstaben
10 Ziffern
——————————
62 Gesamt-Zeichenvorrat

b. Länge des Passwortes und des Administrator-Namens
Wir nehmen als Beispiel ein Passwort und ein Admin-Name mit jeweils 10 Zeichen.

c. Berechnung der möglichen Kombinationen des Passwortes
Anzahl des Zeichenvorrates mal Anzahl der Zeichen des Passwortes.
62 * 62 * 62 * 62 * 62 * 62 * 62 * 62 * 62 * 62 = 839.299.365.868.340.200 bzw. 8,392993659×10¹⁷.
Jedes weitere Passwortzeichen ist eine Erhöhung um das 62-fache der gesamten Kombinationsmöglichkeiten!

d. Berechnung der möglichen Kombinationen des Admin-Namen
Anzahl des Zeichenvorrates mal Anzahl der Zeichen des Admin-Names.
62 * 62 * 62 * 62 * 62 * 62 * 62 * 62 * 62 * 62 = 839.299.365.868.340.200 bzw. 8,392993659×10¹⁷.
Jedes weitere Zeichen ist eine Erhöhung um das 62-fache der gesamten Kombinationsmöglichkeiten!

e. Zeitraum für EINE Berechnung
Nehmen wir an, ein schneller Desktop-Computer aus dem Jahre 2013 schafft 3.000.000.000 bzw. 3 Milliarden Zeichen-Eingaben pro Sekunde zu prüfen, dann wären das rund 279.766.455 Sekunden oder rund 3.238 Tage oder über 9 Jahre NUR für das Passwort! Damit wäre ein Computer schon mal etwas länger beschäftigt.
Und nicht vergessen: jedes weitere Passwort-Zeichen ist eine Erhöhung um das 62-fache der gesamten Zeitdauer! Also eine Passwortlänge mit 11 Zeichen wären dann über 565 Jahre und 12 Zeichen gleich 35.037 Jahre. Das gleiche gilt für den Admin-Namen.

f. Zeitraum für die bisherigen Ergebnisse
Nun stellen Sie sich vor, ALLE Kombinationsmöglichkeiten des Passwortes müssen mit jeder EINZELNEN Möglichkeit des Admin-Namens überprüft werden. Schon ab jetzt reicht die Lebenszeit aller gewesenen und lebenden Menschen nicht mehr aus.
Ausser, es gebe eine Zufallstreffer durch gewürfelte Kombinations-Prüfung. Das Glück wäre unfassbar hoch für einen solchen Treffer, höher als der erste Lottogewinn aller Lottospieler zu aller bisherigen Menschenzeit. Aber beim würfeln müsste es insgesamt länger dauern, da hier mehrfach gleiche Kombinationen wären und diese erst eliminiert werden durch eine schon erwürfelte Datenbank und das Würfeln selber würde auch Zeit benötigten. Also vorsichtig geschätzt, würde sich durch das Würfeln die Zeit quadratisch erhöhen. Ausserdem sollte mal jemand ab und zu der einen Datenbank neue Festplatten geben.

g. Gesperrte IP-Adressen und Zeitlimit des Loginversuches,
werden hier zugunsten der Einfachheithalber nicht mitberechnet, da allein das schon mehrere Jahre sind und unsere Zeit für diesen Beitrag ist knapp.

h. Sonderzeichen
Wie Sie bestimmt bemerkt haben, sind die Sonderzeichen auch noch nicht hinein gerechnet. Aus gutem Grund, wir erinnern uns: 26 Kleinbuchstaben, 26 Grossbuchstaben, 10 Ziffern und Passwort und Admin-Name mit nur 10 Zeichen statt mit jeweils 32.
Aber UTF-8, der verbreitetsten Zeichensatz, hat eine ungleich höhere Anzahl von Zeichen. Der Unicode-Zeichensatz im gebräuchlichsten Format von U-XXXX, der erweiterte Bereich des Unicode-Systems bis U-XXXXXX, wobei X für eine Hexadezimal-Zahl steht. Also U-XXXX entspricht 16 * 16 * 16 * 16 = 65.536 Zeichen. Aber da ist immer noch nicht das Ende, denn es wurde noch ein Vier-Byte-Schema für Unicode erstellt, danach sind es also 4.294.967.296 bzw. über 4 Milliarden Zeichen.

i. Resultat
Es ist schlichtweg unmöglich das Problem zu lösen, weil die Zeit die wichtigste Währung ist und Ökonomie unser Zeitgeist.
Zur ausführlichen Darstellung der Zahlen in einer Berechnung mit Sonderzeichen und einem 32 Zeichen langes Passwort und einem 32 Zeichen langen Admin-Namen würde dieser Beitrag vermutlich bis zur nächsten Erdöl-Lagerstätte reichen, doch wer liest schon so lange Beiträge?

k. Zukunft
Der Quanten-Computer kann kommen. UTF-8 ist gerüstet, quantastisch.
Genau aus diesem Grund werden qualifizierte Angriffe auf Netzwerkebenen über die Hardware vollzogen! Siehe Beispiele aus jüngster Vergangenheit.


UPDATE

Von: ec2-abuse@amazon.com
Betreff: Your Amazon EC2 Abuse Report [54434449051] –
An: ­rο−κοm@gmx.de

Hello,

Thank you for submitting your abuse report. We’ve determined that an Amazon EC2 instance was running at the IP address you provided in your abuse report, and that the activity should no longer be ongoing at this time.If you wish to provide additional information to EC2 regarding this case, or to report future abuse, please reply to ec2-abuse@amazon.com with the original subject line.

Thanks again for alerting us to this issue.

Case number: 54434449051

Your original report:

* Source IPs: 54.207.34.20
* Abuse Time: 2014-01-09 10:00:00.0

Also, auf wundersame Weise und von ganz allein ist das Problem gelöst.
Schön das es auch heut´ noch Wunder und Märchen gibt.