Wie kam die Datei dorthin? Warum konnte auf das Homeverzeichnis einfach per URL zugegriffen werden? Die erste Frage war schnell geklärt: In der Webserver-Konfiguration war das Modul zur Einbindung eines öffentlichen Verzeichnisses in den Homeverzeichnissen eingebunden. Es ist mir in all den Jahren niemals aufgefallen. Es scheint von Hause aus durch die Installation des Webservers an sich eingeschaltet zu sein. Aus Schaden wird man klug. Das Modul wurde erst einmal abgeschaltet, um weiteren Schaden vorzubeugen und den lesenden Zugriff von Ausserhalb zu unterbinden. Die Frage, wie denn die Datei überhaupt durch den Hacker dorthin gelangen konnte, war viel interessanter. Über den Webserver war ein schreibender Zugriff gar nicht möglich und die Rechte auf dem entsprechenden Verzeichnis waren nur lesend eingestellt.
Das Script selbst war unter der Benutzerkennung des Virenscanners abgelegt. Also musste der Hacker eine Möglichkeit gefunden haben, sich unter diesem Account "anzumelden". Schreibzugriffe von Aussen bot lediglich der FTP-Server... Ein Blick in das Protokoll bestätigte meinen Verdacht. Ich weiss nicht, ob ich mir selbst in den Hintern beissen oder dem FTP-Server den Saft abdrehen sollte, denn eigentlich war dem Benutzer keine LOGIN-Shell zugewiesen. Ein Anmelden unter diesem Account sollte somit nicht möglich sein! Leider hat sich der FTP-Server darum nicht geschert und trotzdem Zugang gewährt. Das Kennwort war unter diesen Voraussetzungen sicherlich trivial...
Also wurde der FTP-Server in der Konfiguration angepasst. Nun muss explizit angegeben werden, wer sich über diesen Dienst anmelden darf. Diese Lücke ist nun auch verschlossen.
Was hat der Hacker nun angestellt? Alle drei installierten Virenscanner wurden angeworfen. Wie zu erwarten war, wurden eine Menge Trojaner gefunden. Darunter waren so wichtige Programme wie find, netstat, ps sowie mir unbekannte "neue" Programme ttyload und ttymon. Auch in diversen Systembibliotheken wurden Trojaner gefunden! Nach dem Virenscan wurden die "originalen" Programme und Systembibliotheken wieder hergestellt. Bibliotheken, die neu hinzukamen und versucht waren (libproc.a, libproc.so.2.0.6) wurden entfernt. Ein beherztes "ps aux" lieferte dann Prozesse - insbesonders psotnic - zu Tage. Ein "netstat" zeigte plötzlich Netzwerkverbindungen auf, die vorher nicht zu sehen waren. So wurden diese Prozesse dem künstlichen Tod in Form eines kill-Befehls zuteil. Psotnic kam jedoch immer wieder...