Protokoll eines Hacker-Angriffs

Die Hacker werden immer dreister. Kaum entdecken sie einen Rechner, der scheinbar dauerhaft mit dem Internet verbunden ist, werden die Systeme systematisch auf Schwachstellen hin abgeklopft. So geschehen in den frühen Morgenstunden des 28. Januar 2007... Unser lieber Server wurde erfolgreich angegriffen.

Hier eine kleine Übersicht über die Vorgehensweise. Sie soll dem nicht so bewanderten Administrator einmal zeigen, wie Hacker ans Werk gehen. Bei einer "feindlichen" Übernahme ist schnelles Handeln gefordert um möglichen Schaden so gering wie möglich zu halten.

Stutzig wurde ich am gleichen Morgen, als das Abholen der Mail fehlschlug. Erst war der Verdacht nahe, dass eventuell der Posteingangsdienst nicht mehr korrekt arbeitete oder vielleicht der Virenscanner oder Werbemüllentferner Spamassassin das Mailsystem blockierte. Nein, ein Anmelden am Account per SSH war ebenfalls nicht möglich.

Als gut ausgerüsteter Administrator hat man sicherlich mehr als einen Zugangsaccount im Zugriff. Ein weiterer Account bot die Möglichkeit des Anmeldens. Die Inspektion der laufenden Systemprozesse ließ nichts aussergewöhnliches entdecken. "Da muss doch das Kennwort geändert worden sein!", ging es mir durch den Kopf. Das Kennwort neu gesetzt und siehe da, Mail konnte ungehindert abgeholt werden. Also war die Frage, wie wurde das Kennwort geändert?

Unter meinen Mails befand sich eine Systemmeldung, die auf verdächtige Aktivitäten hinwies und das ganze von einer mir unbekannten IP-Adresse! Gleich mal in die Prozessliste genauer untersucht und da fiel ein Perl-Script ins Auge, welches unter einer Benutzerkennung lief, an der sich normalerweise keiner anmeldet. Ups! Das Script war im temporären Verzeichnis abgelegt und war recht kurz, diente jedoch dazu, eine Netzwerkverbindung zu einem anderen Rechner aufzubauen. Das Script wurde erst einmal gekillt. Die Gewissheit, dass sich jemand unrechtmässig mit dem Server beschäftigt hatte, war jetzt klar belegt. Wie war er nur hereingekommen?

Für mich galt als Einfallstor der Webserver. Also wurden die Logdateien diesbezüglich in Augenschein genommen. Dabei fielen mir Zugriffe auf, die auf eine Datei verwiesen, die ich niemals zur Verfügung gestellt hatte (60.php). Laut Protokoll wurde die Datei aus dem Homeverzeichnis für einen Virenscanner aufgerufen... An dieser Stelle nachgesehen, wurde ich fündig. Es war ein PHP-Script einer Hacker-Shell. Ich habe sie nicht im einzelnen analysiert, dennoch war klar, dass dieses Script Tür und Tor geöffnet hat. Die relevanten Zeilen des Protokolls sehen so aus. Die IP-Adresse lasse ich bewusst drin stehen, damit ihr wisst, dass von dort nichts gutes zu erwarten ist! Sperrt lieber gleich den Zugang komplett!

84.52.181.37 - - [28/Jan/2007:00:51:59 +0100] "GET / HTTP/1.1" 200 583 "-" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:52:00 +0100] "GET /favicon.ico HTTP/1.1" 200 1142 "http://217.197.85.236/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:52:03 +0100] "GET /home/ HTTP/1.1" 200 15947 "http://217.197.85.236/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:52:03 +0100] "GET /home/images/favicon.ico HTTP/1.1" 200 1142 "http://217.197.85.236/home/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:52:04 +0100] "GET /home/templates/torquebiz/css/template_css.css HTTP/1.1" 200 9226 "http://217.197.85.236/home/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:52:05 +0100] "GET /home/templates/torquebiz/images/greyline.jpg HTTP/1.1" 200 494 "http://217.197.85.236/home/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:52:05 +0100] "GET /home/modules/js/ajax.js HTTP/1.1" 200 3988 "http://217.197.85.236/home/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:52:05 +0100] "GET /home/images/stories/mono-logo.png HTTP/1.1" 200 3944 "http://217.197.85.236/home/" "Opera/9.02 (X11; Linux i686; U; en)"
84.52.181.37 - - [28/Jan/2007:00:52:05 +0100] "GET /home/templates/torquebiz/images/thheader.jpg HTTP/1.1" 200 631 "http://217.197.85.236/home/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:52:06 +0100] "GET /home/templates/torquebiz/images/dotbar.jpg HTTP/1.1" 200 4809 "http://217.197.85.236/home/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:52:06 +0100] "GET /home/images/stories/vbox50.png HTTP/1.1" 200 6525 "http://217.197.85.236/home/" "Opera/9.02 (X11; Linux i686; U; en)"
84.52.181.37 - - [28/Jan/2007:00:52:07 +0100] "GET /home/images/M_images/rss091.gif HTTP/1.1" 200 224 "http://217.197.85.236/home/" "Opera/9.02 (X11; Linux i686; U; en)"
84.52.181.37 - - [28/Jan/2007:00:52:09 +0100] "GET /home/images/M_images/rss10.gif HTTP/1.1" 200 218 "http://217.197.85.236/home/" "Opera/9.02 (X11; Linux i686; U; en)"
84.52.181.37 - - [28/Jan/2007:00:52:09 +0100] "GET /home/components/com_docman/themes/default/images/icons/16x16/generic.png HTTP/1.1" 200 1300 "http://217.197.85.236/home/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:52:09 +0100] "GET /home/templates/torquebiz/images/bigheader.png HTTP/1.1" 200 146845 "http://217.197.85.236/home/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:52:09 +0100] "GET /home/templates/torquebiz/images/readon.gif HTTP/1.1" 200 67 "http://217.197.85.236/home/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:52:09 +0100] "GET /home/images/M_images/rss20.gif HTTP/1.1" 200 219 "http://217.197.85.236/home/" "Opera/9.02 (X11; Linux i686; U; en)"
84.52.181.37 - - [28/Jan/2007:00:52:09 +0100] "GET /home/images/M_images/opml.png HTTP/1.1" 200 288 "http://217.197.85.236/home/" "Opera/9.02 (X11; Linux i686; U; en)"
84.52.181.37 - - [28/Jan/2007:00:52:09 +0100] "GET /home/templates/torquebiz/images/bottomhr.jpg HTTP/1.1" 200 497 "http://217.197.85.236/home/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:52:11 +0100] "GET /home/templates/torquebiz/images/dotbar_inv.jpg HTTP/1.1" 200 4420 "http://217.197.85.236/home/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:52:11 +0100] "GET /home/images/M_images/rss20.gif HTTP/1.1" 200 219 "http://217.197.85.236/home/" "Opera/9.02 (X11; Linux i686; U; en)"
84.52.181.37 - - [28/Jan/2007:00:52:11 +0100] "GET /home/templates/torquebiz/images/dotbar_inv.jpg HTTP/1.1" 200 4420 "http://217.197.85.236/home/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:52:11 +0100] "GET /home/~clamav HTTP/1.1" 404 2687 "-" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:52:13 +0100] "GET /home/components/com_docman/themes/default/images/icons/16x16/generic.png HTTP/1.1" 200 1300 "http://217.197.85.236/home/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:52:13 +0100] "GET /home/templates/torquebiz/images/dotbar_inv.jpg HTTP/1.1" 200 4420 "http://217.197.85.236/home/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:52:13 +0100] "GET /home/images/M_images/rss20.gif HTTP/1.1" 200 219 "http://217.197.85.236/home/" "Opera/9.02 (X11; Linux i686; U; en)"
84.52.181.37 - - [28/Jan/2007:00:52:15 +0100] "GET /home/images/stories/clamklein.png HTTP/1.1" 200 12448 "http://217.197.85.236/home/" "Opera/9.02 (X11; Linux i686; U; en)"
84.52.181.37 - - [28/Jan/2007:00:52:16 +0100] "GET /baerlin/vorlagen/homepage.css HTTP/1.1" 200 2279 "http://217.197.85.236/home/~clamav" "Opera/9.02 (X11; Linux i686; U; en)"
84.52.181.37 - - [28/Jan/2007:00:52:16 +0100] "GET /baerlin/images/Baerlin-BBS-Wappen.gif HTTP/1.1" 200 5689 "http://217.197.85.236/home/~clamav" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:52:17 +0100] "GET /favicon.ico HTTP/1.1" 200 1142 "http://217.197.85.236/home/~clamav" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:52:19 +0100] "GET /~clamav HTTP/1.1" 301 756 "-" "Opera/9.02 (X11; Linux i686; U; en)"
84.52.181.37 - - [28/Jan/2007:00:52:19 +0100] "GET /~clamav/ HTTP/1.1" 200 690 "-" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:52:19 +0100] "GET /icons/blank.gif HTTP/1.1" 200 148 "http://baerlin.in-dsl.de/~clamav/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:52:20 +0100] "GET /icons/back.gif HTTP/1.1" 200 216 "http://baerlin.in-dsl.de/~clamav/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:52:20 +0100] "GET /favicon.ico HTTP/1.1" 200 1142 "http://baerlin.in-dsl.de/~clamav/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:52:58 +0100] "GET /~clamav/ HTTP/1.1" 200 730 "-" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:52:58 +0100] "GET /icons/blank.gif HTTP/1.1" 304 - "http://baerlin.in-dsl.de/~clamav/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:52:58 +0100] "GET /icons/back.gif HTTP/1.1" 304 - "http://baerlin.in-dsl.de/~clamav/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:52:59 +0100] "GET /icons/unknown.gif HTTP/1.1" 200 245 "http://baerlin.in-dsl.de/~clamav/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:52:59 +0100] "GET /favicon.ico HTTP/1.1" 200 1142 "http://baerlin.in-dsl.de/~clamav/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:52:59 +0100] "GET /~clamav/60.php HTTP/1.1" 200 331 "http://baerlin.in-dsl.de/~clamav/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:53:03 +0100] "GET /~clamav/60.php HTTP/1.1" 200 331 "http://baerlin.in-dsl.de/~clamav/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:53:04 +0100] "GET /favicon.ico HTTP/1.1" 304 - "http://baerlin.in-dsl.de/~clamav/60.php" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:53:07 +0100] "GET /~clamav/ HTTP/1.1" 200 729 "-" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:53:07 +0100] "GET /icons/blank.gif HTTP/1.1" 304 - "http://baerlin.in-dsl.de/~clamav/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:53:07 +0100] "GET /icons/back.gif HTTP/1.1" 304 - "http://baerlin.in-dsl.de/~clamav/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:53:07 +0100] "GET /icons/unknown.gif HTTP/1.1" 304 - "http://baerlin.in-dsl https://indipill.com/fi/geneerinen-levitra-intiasta/.de/~clamav/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:53:07 +0100] "GET /favicon.ico HTTP/1.1" 304 - "http://baerlin.in-dsl.de/~clamav/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:53:08 +0100] "GET /~clamav/ HTTP/1.1" 200 729 "-" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:53:08 +0100] "GET /icons/blank.gif HTTP/1.1" 304 - "http://baerlin.in-dsl.de/~clamav/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:53:08 +0100] "GET /icons/back.gif HTTP/1.1" 304 - "http://baerlin.in-dsl.de/~clamav/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:53:08 +0100] "GET /icons/unknown.gif HTTP/1.1" 304 - "http://baerlin.in-dsl.de/~clamav/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:53:08 +0100] "GET /favicon.ico HTTP/1.1" 304 - "http://baerlin.in-dsl.de/~clamav/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:53:09 +0100] "GET /~clamav/60.php HTTP/1.1" 200 331 "http://baerlin.in-dsl.de/~clamav/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:53:22 +0100] "GET /~clamav/60.php HTTP/1.1" 200 331 "http://baerlin.in-dsl.de/~clamav/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:53:23 +0100] "GET /favicon.ico HTTP/1.1" 304 - "http://baerlin.in-dsl.de/~clamav/60.php" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:53:23 +0100] "GET /~clamav/60.php HTTP/1.1" 200 331 "http://baerlin.in-dsl.de/~clamav/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:53:24 +0100] "GET /favicon.ico HTTP/1.1" 304 - "http://baerlin.in-dsl.de/~clamav/60.php" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:53:48 +0100] "GET /~clamav/60.php HTTP/1.1" 200 332 "http://baerlin.in-dsl.de/~clamav/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:53:49 +0100] "GET /favicon.ico HTTP/1.1" 304 - "http://baerlin.in-dsl.de/~clamav/60.php" "Opera/9.02 (X11; Linux i686; U; en)"
84.52.181.37 - - [28/Jan/2007:00:54:21 +0100] "GET /~clamav/60.php HTTP/1.1" 200 5398 "http://baerlin.in-dsl.de/~clamav/" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:54:22 +0100] "GET /~clamav/60.php?img=1 HTTP/1.1" 200 391 "http://baerlin.in-dsl.de/~clamav/60.php" "Opera/9.02 (X11; Linux i686; U; en)"
84.52.181.37 - - [28/Jan/2007:00:54:23 +0100] "GET /~clamav/60.php?img=2 HTTP/1.1" 200 391 "http://baerlin.in-dsl.de/~clamav/60.php" "Opera/9.02 (X11; Linux i686; U; en)"
84.52.181.37 - - [28/Jan/2007:00:54:24 +0100] "GET /favicon.ico HTTP/1.1" 304 - "http://baerlin.in-dsl.de/~clamav/60.php" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:54:49 +0100] "POST /~clamav/60.php HTTP/1.1" 200 5362 "http://baerlin.in-dsl.de/~clamav/60.php" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:54:53 +0100] "POST /~clamav/60.php HTTP/1.1" 200 5396 "http://baerlin.in-dsl.de/~clamav/60.php" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:55:02 +0100] "POST /~clamav/60.php HTTP/1.1" 200 5284 "http://baerlin.in-dsl.de/~clamav/60.php" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:55:51 +0100] "GET /~clamav/.php HTTP/1.1" 404 2688 "-" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:55:51 +0100] "GET /baerlin/vorlagen/homepage.css HTTP/1.1" 200 2279 "http://baerlin.in-dsl.de/~clamav/.php" "Opera/9.02 (X11; Linux i686; U; en)"
84.52.181.37 - - [28/Jan/2007:00:55:51 +0100] "GET /baerlin/images/Baerlin-BBS-Wappen.gif HTTP/1.1" 200 5689 "http://baerlin.in-dsl.de/~clamav/.php" "Opera/9.02 (X11; Linux i686; U; en)"

84.52.181.37 - - [28/Jan/2007:00:56:23 +0100] "POST /~clamav/60.php HTTP/1.1" 200 5319 "http://baerlin.in-dsl.de/~clamav/60.php" "Opera/9.02 (X11; Linux i686; U; en)"

Wie kam die Datei dorthin? Warum konnte auf das Homeverzeichnis einfach per URL zugegriffen werden? Die erste Frage war schnell geklärt: In der Webserver-Konfiguration war das Modul zur Einbindung eines öffentlichen Verzeichnisses in den Homeverzeichnissen eingebunden. Es ist mir in all den Jahren niemals aufgefallen. Es scheint von Hause aus durch die Installation des Webservers an sich eingeschaltet zu sein. Aus Schaden wird man klug. Das Modul wurde erst einmal abgeschaltet, um weiteren Schaden vorzubeugen und den lesenden Zugriff von Ausserhalb zu unterbinden. Die Frage, wie denn die Datei überhaupt durch den Hacker dorthin gelangen konnte, war viel interessanter. Über den Webserver war ein schreibender Zugriff gar nicht möglich und die Rechte auf dem entsprechenden Verzeichnis waren nur lesend eingestellt.

Das Script selbst war unter der Benutzerkennung des Virenscanners abgelegt. Also musste der Hacker eine Möglichkeit gefunden haben, sich unter diesem Account "anzumelden". Schreibzugriffe von Aussen bot lediglich der FTP-Server... Ein Blick in das Protokoll bestätigte meinen Verdacht. Ich weiss nicht, ob ich mir selbst in den Hintern beissen oder dem FTP-Server den Saft abdrehen sollte, denn eigentlich war dem Benutzer keine LOGIN-Shell zugewiesen. Ein Anmelden unter diesem Account sollte somit nicht möglich sein! Leider hat sich der FTP-Server darum nicht geschert und trotzdem Zugang gewährt. Das Kennwort war unter diesen Voraussetzungen sicherlich trivial...

Also wurde der FTP-Server in der Konfiguration angepasst. Nun muss explizit angegeben werden, wer sich über diesen Dienst anmelden darf. Diese Lücke ist nun auch verschlossen.

Was hat der Hacker nun angestellt? Alle drei installierten Virenscanner wurden angeworfen. Wie zu erwarten war, wurden eine Menge Trojaner gefunden. Darunter waren so wichtige Programme wie find, netstat, ps sowie mir unbekannte "neue" Programme ttyload und ttymon. Auch in diversen Systembibliotheken wurden Trojaner gefunden! Nach dem Virenscan wurden die "originalen" Programme und Systembibliotheken wieder hergestellt. Bibliotheken, die neu hinzukamen und versucht waren (libproc.a, libproc.so.2.0.6) wurden entfernt. Ein beherztes "ps aux" lieferte dann Prozesse - insbesonders psotnic - zu Tage. Ein "netstat" zeigte plötzlich Netzwerkverbindungen auf, die vorher nicht zu sehen waren. So wurden diese Prozesse dem künstlichen Tod in Form eines kill-Befehls zuteil. Psotnic kam jedoch immer wieder...

Während meiner Säuberungsaktionen versuchte sich der Hacker erneut Zugang zum System zu verschaffen. Wahrscheinlich war er alarmiert worden, weil Netzwerkverbindungen ständig auf- und abgebaut wurden. Jedenfalls bekam er keinen Zugang - Gott sei Dank.

Auf der Suche nach dem psotnic wurde ich im Homeverzeichnis zweier Accounts fündig. Es war in einem versteckten Unterverzeichnis installiert und per benutzerbezogener Crontabelle in das System eingebunden. Alle 10 Minuten wurde die Instanz neu gestartet, falls sie sich beendete. Nach der Löschung der Crontabelle und der Verzeichnisse ist endlich wieder Ruhe eingekehrt. Der Rechner ist wieder unter unserer Kontrolle.

Die Neugierde hat mich dazu bewegt, Nachforschungen bezüglich psotnic anzustellen. Es ist ein Produkt aus der "friedlichen" Nutzung: ein IRC-Bot. Ich denke, in der hier eingebrachten Form sollte er dazu dienen, Befehle des feindlichen Gegenübers entgegen zu nehmen und der Ausführung zuzuführen. In dieser Form besteht für mich leider nicht die Möglichkeit zu sagen, was in der Zeit des Befalls und der Endreinigung des Systems getan wurde.

Inzwischen habe ich alle möglichen Dateien gesichert und archiviert. Da sich der Hacker nicht damit begnügte, sich nur im System umzuschauen - was ja im Prinzip auch mir selbst anzulasten ist, da ich nicht genügend auf die Konfiguration der Dienste geachtet habe - sondern darüber hinaus massive Datenmanipulationen ausführte und das ganze heimtückisch verschleiern wollte, wurde von meiner Seite Strafanzeige gestellt. Hoffnung, dass man den Täter tatsächlich fasst, mache ich mir nicht, zumal der Angriff von einem slovenischen Provider stammt. Im Prinzip ist es auch ein Schutz meinerseits, da ich nicht weiss, was mit dem System angestellt wurde. Wer möchte schon Besuch von der Kripo haben mit der Anklage, man habe über diesen Rechner kinderpornografisches Material verteilt...

Als Resumé gilt für mich, dass es den Hackern nicht nur um "große" Rechner geht. Sie sind vielmehr an sämtlichen Rechnern interessiert, die eine quasi 24-Stunden-Verfügbarkeit bieten. Egal zu welchem Zweck der Rechner missbraucht werden soll. Wenn einmal genügend Zeit zur Verfügung steht, werde ich versuchen, die installierten Programme zu untersuchen und deren eigentlichen Zwecke zu verstehen. Ich werde dann wieder berichten.