9:28 und 16:18 haben mich laut lachen lassen, wie nüchtern er das raus haut :D ich liebe diesen Kanal! Freue mich schon auf die nächsten Folgen.

Danke, Thomas, für diese wundervolle und blumig vorgebrachte Expertise - so kann man auch immer etwas für sich mitnehmen!

Danke für diese sehr anschaulichen Erklärungen so das auch Laien folgen können.

Ich liebe Euren Still! (Retro-Vortrag)! Danke und weiter So! ;)

das war ja mal klasse und verständlich !!! Danke für das Video....

Ein Zusatz zu den Loginversuchen bei Minute 20:06: Mit Kafka ist nicht der Dichter gemeint, sondern ein sehr praktisches Tool, wenn man Datenströme, die zwischen zwei Systemen hin und her gehen, verarbeiten möchte. Ist von Apache geschrieben und Open Source. Und uftp ist ein ähnlicher Service, wie ftp, um Dateien zu übertragen, Hadoop ist eine Datenbankanwendung und Jenkins ein Tool, um Software zu bauen. Das heißt der Angreifer testet da gerade, ob das anzugreufende System ein Development System ist und dann eventuell erweiterte Rechte hat.

Sehr guter Bericht der einem verständlich rübergebracht wurde. Und alles ohne einem gleich etwas verkaufen zu wollen

sehr interessant es wieder mal in Erinnerung zu rufen.Danke

Danke Thomas für das sehr aufschlussreiche und informative Video.

Super interessantes Video und eine wirklich schöne Auswahl an Honigtöpfen. 🙂

Super erklärt. Bringt mich dazu auch mal wieder 'nen RasPi aufzusetzen und ins Netz zu hängen. Ist schon lustig zu sehen, wer so alles vorbei kommt. Danke für die Inspiration.

Sehr interessant und informativ, danke 👍💕👍 ... und vor allen Dingen verständlich erklärt!

Interessanter Beitrag ,wieder etwas dazugelernt ! Danke Dafür !!!

Sehr anschaulich erklärt, vielen Dank dafür. 👍

Wie immer sehr schön erklärt und auch für Laien verständlich. 👍🏽

Gutes Video für die Einsteiger in die Materie. Alles was auf dem Webserver nicht direkt durch Kunden oder fremde Nutzer erreichbar sein soll, kann man auch in eine .htacces packen (phpmyadmin usw) und damit so ziemlich alle aussperren. Sicherheit beginnt damit, das man so wenig wie möglich und soviel wie nötig in die freie Welt frei gibt. Dienste wie SSH bringt man mittels Key-Authentication sicher. Damit kann man sogar sich selbst erfolgreich aussperren, wenn man nicht einen Rettungsanker noch hat über den man dann rein kommt.

Dankeschön für diese Sendung. Und Gesundheit für den Paps.

Super Beitrag! Das hätte ich nicht gedacht... da habe ich was gelernt! Besten Dank für die Aufklärung und 73!

Hochinteressant! Danke für das tolle Video! 👍🙂

Sehr interessantes Video. Danke dafür!

Das zieht einem ja die Schuhe aus ! Die laden für mich eine Datei runter, die sie auf meinem Rechner ausführen. Vielen Dank für diesen Beitrag.

👍 - _auch_ für den YT-Algo! 😊

Super Video und gut erklärt. Danke, dass es noch immer CC2.TV gibt. Danke für euren Einsatz! Wäre vielleicht interessant gewesen, wenn man einen auf den Raspi lässt was der macht bzw. probiert. :-)

Suuuper interessant, das bau ich mir gerne nach. :) Auch mega gut erklärt, vielen lieben Dank!

wieder ein top Video lg

Herzlichen Dank für das Video 👍🏻

Das ist sehr interessant und informativ . Hat Spass gemacht vobei zu schauen. LG

Super spannendes und interessantes Video. Gerne mehr zu diesem Thema 👍

Vielen vielen Dank, das ihr den Club am Leben haltet. Bitte macht weiter. Ich schaue immer wieder mit viel Vergnügen euch zu. Herzlichen Dank. Ilja.

Tolles Thema. Sehr interessant. 👍

sehr sehr gut erklärt, Danke 👌

Immer die Themen die mich brennend interessieren! Wie schafft ihr das? Lieben Dank!!!!

19:15 der Datenschutz ist auch hier durchaus sinnvoll. Möglicherweise kommt die Anfrage von einem bereits kompromittieren System und nicht direkt vom Angreifer.

Danke sehr gute Sendung!

Wieder ein toller und praxisnaher Beitrag👍 Man sollte sich sich zumindest bewusst sein was alles online zuhause ist und auch Herr/in darüber sein. Die (Daten) Sicherheit hört ja schon beim Smart TV oder bei China LED Farbwechsel Birnen auf, die zwar per WLAN bedient werden können, der Dienst selbst auf einem Zweifelhaften Server in Fernost läuft. Abgesehen davon, wer weiß wie gut solche billig Smartphone Artikel das WLAN password schützen.. Um es klar zu stellen, ich habe auch eine cloud und smart home Anwendungen, jedoch alle zuhause gehostet und somit zumindest in der Lage auf dem aktuellsten Stand zu halten.

Immer wieder herrlich deine Videos!

Super Video. Dankeschön ☺️

Ein sehr spannendes Thema, heutzutage besonders.

Sehr interessant und zeitgleich erdrückend. Bei den Sicherheitsupdates von MS denke ich mir zudem, ob sie nicht Backdoors für ihr eigenes Imperium einbauen, um die Endgeräte zu überwachen, so wie google auch jedes Individuum bespitzelt mit seinen Suchmaschinen.

Sehr interessant. /actuator/health ist keine Sensor-url, sondern das Monitoring Framework von Spring (ein Java basiertes programmier-Framework). Es liegt nahe dass der Angreifer darüber versucht hat indirekt Zugriff auf die bekannte Log4J ldap Sicherheitslücke zu erhalten. Über actuator lassen sich nämlich auch in the fly Logkonfigurationen abändern (insofern man das nicht abgestellt hat)

Ich betreibe seit > 20Jahren nen eigenen Webserver und der läuft und läuft seit sehr langer Zeit... Für meine Kunden, Freunde und mich selbst (als Supportplattform ). Sicherheitsupdates > keine 1 Warum auch ? Meine Sicherheitsphilosophie ist und war schon immer knallhart und extrem restriktiv ! Weniger ist mehr ! Der Webserver ist ein klassischer Webserver ohne Plugins, kein PHP, kein CGI, keine Datenbankanbindung, einfach nur reines Vanilla-HTML ! Sogar POST-Requests werden ignoriert. Das Ganze läuft natürlich NICHT auf dem Standartport und seit Jahren ohne Probleme ! Ich habe erweiterters Logging konfiguriert und schaue ab und an nach dem Rechten. Stündlich ca. 10 Requests etwa 300 pro Tag, mal mehr mal weniger.... Letztendlich sind das Immer wieder selben "Kunden" , Suchmaschinen Crawler, Bots, Sicherheitscanner, Hobbyhacker, und keiner hat je Erfolg gehabt und wird es auch niemals haben ! Der Server ist immer via URL erreichbar und ist daher durchaus "öffentlich". Wo nichts ist, da gibt es auch nichts zu holen, da geht einfach nichts ! Entweder die URL gibt es, oder es gibt sie eben nicht, oder aber der Request ist ungültig und wird einfach verworfen ( drop connection, flush connection table ). Auch die Form und den Inhalt der Requests habe ich brutal restriktiert, . Es gab in Vergangenheit sogar Situationen, wo DOS-Angriffe und Brute-Force Angriffe mit dem Ziel in einen mit Basic-Authentication gesicherten Bereich zu kommen versucht wurden und auch das blieb ohne meine Interaktion Folgen- und erfolglos. Ich habe erst später von diesen Aktionen erfahren und die Logs bestätigten dies. Die einzige Folge waren überdurchschnittlilich große Logs aber das iwar für den großzügig dimensionierten Webserver kein Problem. Die Regel ist eigentlich ganz einfach: Je komplexter der Serverdienst ist, je funktionaler, je untransparenter die Software, desto größer ist auch das Gefahrenpotential.... Es muss nicht immer eine superfunktionale komplexe Software verwendet werden, wenn die Aufgabenstellung doch eigentlich ganz einfach ist.

Wie immer sehr interessant und toll erklärt 👍

Danke für dieses Video.

Hab seit einer Weile einen Splunk server im Internet am laufen, der auch die SSH Angriffe aus /var/log/secure ausliest… Admin und root musste ich schon relativ früh aus der Statistik raus nehmen, weil die am häufigsten angegriffen werden. Scheinbar muss ich auch "user" raus nehmen, 25 % der Angreifer versuchen es mit dem Namen. Heute (bis 08:30), hatte ich auch die Namen Elastic und Elasticsearch mit drin. Seit der Aufzeichnung sind die 5 häufigsten Namen die bei Angriffen auf meine Server verwendet werden (nehm ich User und Test, die zusammen mehr als 40% ausmachen, raus)… bleiben noch ubnt, postgres, support, oracle, ubuntu. Ich hatte jetzt schon länger nicht mehr auf listen in zeitlicher Reihenfolge geguckt … ich werde scheinbar gerade mit nem englischen Wörterbuch angegriffen… und derjenige ist gerade bei F

Weiter so. Bin leider knapp bei Kasse gerade, sonst... . Keep it up this good work.

Sehr gutes Thema!

Super erklärt! Top !

Ab 9:40 steht im Log bei einem Eintrag für die Methode GET zusätzlich noch eine IP-Adresse oder ein Hostname eines fremden Servers in dem Anfrage-String. Wozu wird das gemacht? Ist das evtl. sicherheitsrelevant? Ich habe auch derartige Anfragen in meinen Logs.

schön gemacht , danke ✌

Sehr informativ!

Ich hab zwar nur die Hälfte verstanden, war aber gut vorgetragen. VG

Vielen Dank!

hab den begriff honeypot immer im politischen zusammenhang gehört und wusste nichts damit anzufangen😉

Moin, sehe Dich gerne auch wenn ich nicht alles zu 100% verstehe.👍

👍

Hier eine kleine Story was ich mal bei einen gemieteten Webserver Anbieter gemacht habe. (Anbieter-Name wird verschwiegen) Man konnte über ein RDP über Browser auf den Webserver zugreifen und ihn dann so Fernsteuern. Bei diesen Windows Server konnte man auch das Netzwerk abschalten und weiterhin verbunden sein. Also tat ich noch folgendes: Ich schaltete die Windows Firewall aus und dann das Netzwerk wieder ein, nur um zu schauen was passiert. KEINE 10 Sekunden vergingen und der Desktop füllte sich mit irgendwelche Trojaner installationen, jede menge Fenster ploppten auf und weitere Sekunden später ist das System abgestürzt (crash-hack?) Es ist also unbedingt notwendig mindestens so eine billige Firewall zu verwenden wie die von Windows wenn man ohne eine Hardware Firewall reingeht, die jeder Router schon integriert hat. 😅 Windows hat im Übrigen häufig auch unnötige Ports offen für jede Anwendung die im Hintergrund läuft und somit ein deutliches Risiko ist für hackangriffe, wenn man keine Firewall besitzt. Bei Linux ist es genau umgekehrt. Die Ports werden erst dann geöffnet wenn es notwendig ist ins Internet darüber zu gehen, ansonsten ist da kein Port unnötig offen wie bei Windows! 😉 Allein die SVCHOST.exe hat über 50 Ports offen. Also leichte Beute, wenn man keine Firewall besitzt.

Mir ist bei meinem OMV NAS auch vermehrt aufgefallen, als ich die LOGs wegen eines Fehlers gelesen habe, dass haufenweise anfragen an das Webinterface, ssh etc. gestellt wurden, seit dem hab ich in meinem Router alle Ports bis auf einen geschlossen und gehe nur noch Wireguard auf mein NAS, seit dem ist Ruhe, und ist auch um einiges sicherer :)

Danke,

Ich frage mich, wie viel Prozent des Traffics all diese (für uns normale Nutzer) Anfragen sowie Phishing Mails im Internet ausmachen.

Dezentral ist es auch nur bis ein ISP oder Netzbetreiber abschaltet. Bin mir nicht sicher, ob die Definition noch unbedingt zutrifft?

Die IP Adresse ist NICHT eindeutig. Die großen Firmen behaupten das, damit sie PERSONEN abmahnen können. Die IP sagt aber tatsächlich nichts darüber aus, WER was gemacht haben soll. Interessiert auch bis zum BGH rauf keinen. Ebensowenig, daß ein "hashtag" kein Softwareprodukt einer großen Firma identifiziert...

Hallo Thomas, kannst du dein Script zum Aufbereiten des Webserver-Logs mal teilen. Ich würde sowas gerne mit meinen Azubis auch mal durchführen. Wäre super.

👏👏👏

Nebenbei ist es seltsam, dass das Thema Bitcoin und/oder Blockchain noch nie Thema einer Sendung war, da tun sich sich doch gigantisch viele neue technische Spielereien auf :D

Wie immer Top Video. Super wenn man sich dazu auch ein Tool zur Überwachung dazu schreibt. Denke mal in Python. Würde man das nicht auch mit Wireshark machen können? Für eine Antwort würde ich mich sehr freuen.

Finde deine Videos sehr gut! Habe eine Frage liegen alle Protokolldateien im Verzeichnis /var/log?

Ich hab ne frage. Ich hab die App lockdown heruntergeladen wo man blockieren kann das Google etc auf gewisse Dinge Zugriff auf dem iPhone hat. Ich frag mich wie gut schützt es wirklich?

Was mich interessiert woher wissen die angreifer das unter dieser ip ein webserver läuft ohne das ein server unter dieser ip bei google oder anderen Suchmaschinen angegeben worden ist?

Toller Beitrag, danke. Wie gut ist denn die Firewall einer FritzBox? Updates gibt es da ja eher selten. Ist es sicher einen "end of live" Router als AccessPoint hinter einer FB zu betreiben - ist ja nur für Netzclients?

Sehr guter Beitrag, finde nur schade , das nicht gesagt wurde, wofür der Honigtopf, eigentlich da ist.

Danke dir für dieses Video. Frage: Wenn ich Probleme mit Insekten habe, benutze ich Köder. um mich dieser zu entledigen. Warum benutzt man nicht vergiftete Honeypots?

Klasse, Router updaten und neuen kaufen, weil er nach dem Update nicht mehr funktioniert. Kein Einzelfall.

Kannst du Mal ein Video machen, wie man so ein honey pot installiert und zeigen wie man die logs auswerten kann. Das wäre sehr spannend.

Geht das auch für WIN 10/11? LG Dirk

Interessant. Das Thema ist sehr komplex. Wie lange braucht man, um so etwas zulernen?

fände gut gemachte Schritt für Schritt Anleitungen für gängige u. ihrer Erfahrung nach rel sicherer Heim IT interessant - quasi, die jeder auch ohne Vorkenntnisse umsetzen kann, um sein Heimnetzwerk sicher zu machen ... vllt als kaufbaren PDF Download, in versch Sprachen, mit verständlichen Skizzen u. Erklärungen ... nur mal so als grobe Idee ...

Hallo, ich habe mich schon mehrmals gefragt was das für eine Maschine ist, im Hintergrund. Kann mir jemand das sagen ?

wie kann man denn den ssh Port mitloggen? muss das Loggen erst aktiviert werden?

es macht sinn beim webhosting, cloudflare mit proxy zu nutzen und in seiner firewall nur den ip bereich von cloudflare auf die webports zu zulassen. somit hat normalerweise keiner direkten zugriff auf den server und es spart massiv traffic.

Honigtöpfe waren in erster Linie gedacht, um Zugreifer auf das darknet zu identifizieren.

"Die Chinesen wissen nicht wie beschissen das Internet in Deutschland ist ..." 🤣🤣🤣

Guten Tag ich wollt mal Fragen Ob Sie Mal Zeigen können wie man Linux statt Windows 11 Benutzen kann.

Könne man nicht auf einen Server eine Datei so einrichten, dass der "Besucher" sie laden kann? Böten sich dafür nicht geeignete Viren an?

Auf meiner Synology habe ich ca. 20 Angriffe/Std. mit versuchten Logins.

Vor einigen Jahren wurde im Radio erzählt, daß die Uniklinik Münster jede Tag.1,5Millionen Angriffe hat.

Kennst du den honeypot von sempervideo? Der bremst die bösen etwas aus

Ich bin der Meinung dass die IP in dem Umfeld nicht schutzbedürftig gewesen wäre, da man diesen IP's keiner natürlichen Person zuordnen kann. Innerhalb einer Organisations Einheit sieht das ggf. schon ganz anders aus.

ich hab eine Gigabit leitung mit 50mbit upload, also zumindest wenn es mal funktioniert. Windows7 ist und war bisher immer noch das einzige OS was brauchbar ist, 8.1. und 10 kann man doch in der Pfeife rauchen und 11. ist nich zu unsicher. XP wäre mir am liebsten, weil einfach läuft und läuft wie ein käfer. ich will gar nicht wissen was da so alles online am netz ist, klick strom weg, klick Ampeln aus klick krankenhaus gehts licht an. klick, am horizont ein heller blitz. Klick klick klick rückgängig. zzzzzzz brutzzzel

IT-Profis gehen ohne Hardware-Firewall gar nicht ins Netz.

Ach Quatsch, die haben sich doch einfach nur alle mit der IP-Adresse vertan, kann jedem mal passieren xD

🤣🤣🤣🤣 D A N K E Wie ehrlich du doch bei 9:29 bist. Weite teile der Behörden arbeiten noch mit FAX

Hallo Thomas, das Video ist mal wieder sehr informativ. Interessant wäre es auch mal zu erfahren, ob es Unterschiede zwischen IPv4 und IPv6 gibt. Da IPv6 ja deutlich größer sind, müsste die Chance, hier ungebetenen Besuch zu erhalten, doch deutlich geringer sein, oder macht das gar keinen Unterschied aus?

Installiere doch mal einen pi mit alter Server software, default paths, default user names, schwachen Passwörtern, und dann mal schauen was passiert!

...und letzter! ;)

Ganz naiv nachgefragt. Kann ich den feststellen, ob mein Computer schon zu einem Bot/Zombie geworden ist? Ob sich so ein Programm schon irgendwo im System eingenistet hat?

13:52 betreibt jemand eine WP-Seite, muss man Zugriffe aus Brasilien unterbinden (Geoblocking). Gerade von dort kommen sehr oft Schadzugriffe auf dem Server. Schade für Normalbesucher aus Brasilien, aber ich will nicht sekündlich auf Warnmeldungen des Servers reagieren wollen.

Irgendwie krieg ich Angst. Klar gibt es SQL injection und mehr immer noch. Aber 102,5% der Probleme entstehen im Moment durch "aktive" Nutzer. DIE klicken ja fröhlich auf jeden pishing link. 0 days und das Ausnutzen dergleiche ist soooooooo selten, wie die Angriffe auf verschiedene NAS in letzter Zeit...gibt es aber selten.

Die Chinesen wissen nicht wie beschissen das Internet in Deutschland ist 🤣🤣🤣

Danke für das "Panik-Video".. Wie üblich machst Du gute sachen mit vielen Hinweisen, aber DAS Wichtigste fehlt, wie üblich, bei Dir! Was für Programme, Konfigurationen usw hast Du dabei verwendet (zeigen! Bsp: Raspi in "Aktion"!) !? Schade, halbe Arbeit! Ich würde mir wünschen, mehr das techniche know-how dahinter erklärt und auch gezeigt zu bekommen. Es sind ja keine "Tutorials" oder so, sollte aber dem geneigten User dennoch gezeigt oder zumindest verlinkt werden, damit der auch solche "Tests" selber nachbauen kann.

Erster :)