14.01.2008 19:07 | Webseite Attacke auf den Rootserver | Thomas Batton |
---|---|---|
Es sieht vielleicht so aus, als ob der Webmaster seit einiger Zeit untätig ist. Dem ist nicht der Fall, aber die Beschäftigung zeigt leider in Richtungen, die nicht auf der normalen Todo-Liste standen Mitte Dezember wurde ich von einer Traffic-Warnung überrascht, habe dann festgestellt, dass die bei 500 GB (von 1000 max pro Monat) ausgelöst wird (meine eigene, reichlich verblödete Einstellung). Nur zum Vergleich: normal hat der Server zwischen 2 und 5 GB! Also war ich in einem halben Monat Faktor 100 über Maximum! Normale Erklärungen helfen da nicht, die Webseiten Schachklub, Concordia, Radtreff und mein Mailserver geben da nix her. Dann habe ich auf der Maschine in der Prozesslandschaft etwas ungewöhnliches gesehen, einen von mir nicht gestarteten Prozess, der konstant drei HTTP-Verbindungen auf hatte (lsof -i4 meldet <established>), die einfach nicht weggingen. Normal sollte sowas im Sekundenbruchteilbereich abgewickelt sein, es sei denn, da laufen Giganto-Downloads (oder auch Uploads). Nun ja, bevor die noch was anrichten, habe ich den Prozess abgeschossen. Am nächsten morgen war wieder einer da, und das Spiel wiederholte sich. Ich untersuchte über Weihnachten Neujahr usw., was da an Sicherheitslücken auf dem Server sein könnte, und wurde durchaus mehrfach fündig, aber das echte Einschlupfloch war nicht dabei, wie der jeweils nächste Einbruch bewies. Ab dem zweiten Einbruch sicherte ich Spuren der Umgebung des Trojaner-Prozesses, es waren Dateinamen dabei, die auf italienische Spielfilme deuteten. Das passte gut, weil viele der Clients, die jeweils Verbindungen zum Trojaner hatten, aus Italien zu kommen schienen. Die Dateien konnte ich aber vorerst nicht finden. Parallel versuchte ich bei der Polizei (Ettlingen begonnen) einen Ansprechpartner zu finden, mit dem ich darüber reden konnte, ob das überhaupt strafbar war (immerhin sind mir keine direkten Kosten entstanden), was die eventuell brauchen, ob sie vielleicht live zugucken wollen, wenn da so ein Trojaner sein Werk tut - ich hätte ihnen root-Zugriff gegeben und sie machen lassen. Das Problem verschob sich aber Woche für Woche. Mithilfe eines Arbeitskollegen arbeitete ich mich vom Landesinnenministerium vor, landete bei der Kripo Mannheim, dann Karlsruhe und war fast dran. Nach 3 Wochen meldete sich dann doch am selben Tag erst die Schutzpolizei Ettlingen und mittags die Kripo und erklärten sich (in dieser Reihenfolge) jeweils für zuständig. In der Zwischenzeit habe ich alle 2 Tage einen Trojaner gemordet, mich weitergebildet, Einbruchslöcher gesichert und schliesslich 3 Dinge gefunden: die Filme, die Einbruchshilfsmittel, und das Einbruchsloch. Seitdem ist insoweit Ruhe. Ich werde jetzt diese Woche brauchen, um das Material für die Kripo aufzubereiten. Vorläufig konnte ich sie davon überzeugen, auf eine Beschlagnahme der Server-Festplatte zu verzichten, dann wären o.g. Homepages und meine Mail wohl ein paar Tage lang offline gewesen. Bin mal gespannt, was da rauskommt. |
||
[0 Kommentare] |
angemeldete Benutzer können Einträge/Kommentare erfassen.