Die Hacker werden immer dreister. Kaum entdecken sie einen Rechner, der scheinbar dauerhaft mit dem Internet verbunden ist, werden die Systeme systematisch auf Schwachstellen hin abgeklopft. So geschehen in den frühen Morgenstunden des 28. Januar 2007... Unser lieber Server wurde erfolgreich angegriffen.
Hier eine kleine Übersicht über die Vorgehensweise. Sie soll dem nicht so bewanderten Administrator einmal zeigen, wie Hacker ans Werk gehen. Bei einer "feindlichen" Übernahme ist schnelles Handeln gefordert um möglichen Schaden so gering wie möglich zu halten.
Stutzig wurde ich am gleichen Morgen, als das Abholen der Mail fehlschlug. Erst war der Verdacht nahe, dass eventuell der Posteingangsdienst nicht mehr korrekt arbeitete oder vielleicht der Virenscanner oder Werbemüllentferner Spamassassin das Mailsystem blockierte. Nein, ein Anmelden am Account per SSH war ebenfalls nicht möglich.
Als gut ausgerüsteter Administrator hat man sicherlich mehr als einen Zugangsaccount im Zugriff. Ein weiterer Account bot die Möglichkeit des Anmeldens. Die Inspektion der laufenden Systemprozesse ließ nichts aussergewöhnliches entdecken. "Da muss doch das Kennwort geändert worden sein!", ging es mir durch den Kopf. Das Kennwort neu gesetzt und siehe da, Mail konnte ungehindert abgeholt werden. Also war die Frage, wie wurde das Kennwort geändert?
Unter meinen Mails befand sich eine Systemmeldung, die auf verdächtige Aktivitäten hinwies und das ganze von einer mir unbekannten IP-Adresse! Gleich mal in die Prozessliste genauer untersucht und da fiel ein Perl-Script ins Auge, welches unter einer Benutzerkennung lief, an der sich normalerweise keiner anmeldet. Ups! Das Script war im temporären Verzeichnis abgelegt und war recht kurz, diente jedoch dazu, eine Netzwerkverbindung zu einem anderen Rechner aufzubauen. Das Script wurde erst einmal gekillt. Die Gewissheit, dass sich jemand unrechtmässig mit dem Server beschäftigt hatte, war jetzt klar belegt. Wie war er nur hereingekommen?