Während meiner Säuberungsaktionen versuchte sich der Hacker erneut Zugang zum System zu verschaffen. Wahrscheinlich war er alarmiert worden, weil Netzwerkverbindungen ständig auf- und abgebaut wurden. Jedenfalls bekam er keinen Zugang - Gott sei Dank.
Auf der Suche nach dem psotnic wurde ich im Homeverzeichnis zweier Accounts fündig. Es war in einem versteckten Unterverzeichnis installiert und per benutzerbezogener Crontabelle in das System eingebunden. Alle 10 Minuten wurde die Instanz neu gestartet, falls sie sich beendete. Nach der Löschung der Crontabelle und der Verzeichnisse ist endlich wieder Ruhe eingekehrt. Der Rechner ist wieder unter unserer Kontrolle.
Die Neugierde hat mich dazu bewegt, Nachforschungen bezüglich psotnic anzustellen. Es ist ein Produkt aus der "friedlichen" Nutzung: ein IRC-Bot. Ich denke, in der hier eingebrachten Form sollte er dazu dienen, Befehle des feindlichen Gegenübers entgegen zu nehmen und der Ausführung zuzuführen. In dieser Form besteht für mich leider nicht die Möglichkeit zu sagen, was in der Zeit des Befalls und der Endreinigung des Systems getan wurde.
Inzwischen habe ich alle möglichen Dateien gesichert und archiviert. Da sich der Hacker nicht damit begnügte, sich nur im System umzuschauen - was ja im Prinzip auch mir selbst anzulasten ist, da ich nicht genügend auf die Konfiguration der Dienste geachtet habe - sondern darüber hinaus massive Datenmanipulationen ausführte und das ganze heimtückisch verschleiern wollte, wurde von meiner Seite Strafanzeige gestellt. Hoffnung, dass man den Täter tatsächlich fasst, mache ich mir nicht, zumal der Angriff von einem slovenischen Provider stammt. Im Prinzip ist es auch ein Schutz meinerseits, da ich nicht weiss, was mit dem System angestellt wurde. Wer möchte schon Besuch von der Kripo haben mit der Anklage, man habe über diesen Rechner kinderpornografisches Material verteilt...
Als Resumé gilt für mich, dass es den Hackern nicht nur um "große" Rechner geht. Sie sind vielmehr an sämtlichen Rechnern interessiert, die eine quasi 24-Stunden-Verfügbarkeit bieten. Egal zu welchem Zweck der Rechner missbraucht werden soll. Wenn einmal genügend Zeit zur Verfügung steht, werde ich versuchen, die installierten Programme zu untersuchen und deren eigentlichen Zwecke zu verstehen. Ich werde dann wieder berichten.