950 fremmede banket på serverdøra
Oppsett av egen server er utfordrende, spennende og til tider litt skummelt. På litt over ett døgn banket over 950 fremmede på serverdøra i forsøk på å komme seg inn og ødelegge det jeg holder på med. Forsøkene er også interessante.
Disse nettsidene er den siste uka blitt flyttet over på en server jeg selv har satt opp. Serveren holder til i et datasenter i Amsterdam i Nederland, og når man nå skriver byeskille.no i nettleseren sendes trafikken dit og ikke til en tilbyder i Norge.
Det begynte med interesse for å få på plass SSL for kryptering for nettsidene slik at de kunne besøkes med https-adresse for å gjøre det vanskeligere for noen med onde hensikter å late som de er meg. Akkurat det er prinsipielt litt viktig for journalister slik at kilder ikke skal kunne avsløres.
Jeg undersøkte derfor om tilbyderen jeg allerede hadde kunne gi meg https-levering av nettsidene. Etter en del fram og tilbake fikk vi opp sidene på den måten, men serverne deres var langt, langt fra oppdaterte. En sjekk av SSL-implementeringen på SSL Labs sin test ga karakteren F.
Samtidig som jeg undersøkte med leverandøren jeg hadde avtale med fra før leste jeg meg opp. De ganske interessante og nyttige artiklene til Ars Technica om å selve sette opp server ga inspirasjon. I første omgang lekte jeg meg bare lokalt i en så kalt virtual machine. Med programmet Virtualbox på Mac-en kunne jeg sette opp en ny maskin helt fra bunnen av med en Linux-installasjon for serverbruk.
Videre lette jeg etter en ny leverandør som kunne gjøre jobben for meg. Underveis fikk jeg dytt fra blant annet Einar Otto Stangvik om å sette opp selv (se tweet).
@thorsheim @Byeskille I så fall; hiv ut Apache, inn med Nginx og OpenSSL 1.0.1g, så er målet litt nærmere :-)— Einar Otto Stangvik (@einaros) May 1, 2014
Så da forsøkte jeg meg sakte, men sikkert først bare som en test på min egen Mac. For deretter å flytte over på en ekte server ute på nettet.
Det var med glede jeg kunne se at jeg fikk til en SSL score på A+
Gradvis har jeg økt sikkerhetsnivået generelt, og domenet med hele nettsiden ble ikke flyttet over med en gang.
Det har ført til at jeg har merket i systemet at ikke alle er like snille ute på det store internett.
invalid user, authentication failure
Blant annet kunne jeg i en tidsperiode på et drøyt døgn etter at jeg restartet serveren se ganske hektisk aktivitet i loggene.
Uvedkommende, fremmede hadde banket på serverdøra over 950 ganger uten å komme inn.
Årsaken er at en server på internett viser at den har dører og vinduer. For å kunne tilby tjenestene sine må den åpne litt slik at kundene kan bli betjent i døråpningen eller vindusluka.
Dette brukes en del av de som vil forsøke å komme seg helt inn av andre grunner også. De tråler nettet etter slike åpninger. I loggene for serveren min var det helt klart at en del fant den interessant. Det var mange innslag fra mange ulike ip-adresser.
Loggene viste samtidig at ingen av dem lyktes – de ble avvist i døra av sikkerhetsregler.
Det jeg derimot kunne lese var at en del seg med å bare gjette på brukernavn som de kanskje ville treffe med.
Disse gjettede brukernavnene er litt interessante fordi de viser at de kanskje tror at det finnes en del ferdigoppsett der ute på internett som de bare kan prøve seg med standard brukernavn og passord til.
Blant annet så jeg mange forsøk med brukernavnet oracle som er en leverandør av programvare og nagios som leverer server-styringsprogramvare.
Det var også mer ordinære brukernavn der de kanskje har tippet med utgangspunkt i vanlige engelske fornavn, som lester og gabe.
Her er noen av brukernavnene som ble forsøkt uten hell:
kyle
glevy
mlynn
jambroso
lester
gabe
usls
press
elaw
nail
admin
user
guest
xbian
oracle
test
www
msql
nagios
testuser
tomcat
support
postgres
ubuntu
antisec
cassandra
ftpuser
nordine
franck
karim
deluge
stephane
clipo
openerp
jinx
crestel
xbox
w4
pi
raspi
vyatta
foo
logitech
ucpss
Lenkevarsling: Ny versjon av internett – HTTP/2 – Bye Skille