Skandal im Sperrbezirk
3. Mai 2007, 12:30 Uhr Für Nerds Halla
Wer hier regelmäßig mitliest, der hat sich sicher über die Nicht-Erreichbarkeit, neudeutsch: Downtime, dieser Seite gewundert. Nun liegt Reality on the Rocks zusammen mit ein paar anderen Projekten von mir auf meinem eigenen, virtuellen (für einen echten Dedi reichts nicht) Root-Server. Und dieser Root-Server wurde am 25.4. leider kompromittiert, d.h. nichts anderes als “gehackt“.
Alaaaaarm!
Falls es jetzt zu technisch wird, bitte einfach den Abschnitt überspringen… Am 26.4. bekam ich eine Mail, wonach am Vortag ein Traffic-Warnschwellenwert überschritten wurde. Kann passieren, dachte ich mir, und sah mir die ensprechenden Statistiken an: Am Vortag hatte mein Server 4GB Incoming und 3.8GB Outgoing Traffic verzeichnet - normal sind etwa 20-50MB Incoming und höchstens 500 MB Outgoing. Kunden gibts auf dem Server keine und ich hatte nichts in dieser Größe hochgeladen, mit anderen Worten: Irgendein dreckiger Bast*** hat meine Kiste als Warez-Schleuder missbraucht (im besten Fall).
Das ist so der Moment, in dem einen als Besitzer und Verantwortlicher der Kiste der Arsch auf Grundeis geht. Einziger Vorteil: Ich hatte einen Grund, meine IT- und Computer-Recht Vorlesung an diesem Morgen in den Wind zu schießen.
Klar zum Gefecht
Ich versuchte natürlich sofort Gegenmaßnahmen einzuleiten:
- Sicherung des /var/log Verzeichnisses
- Sicherung aller vHosts und Datenbanken
- Information des Providers
- Spurensuche auf dem System
- Brennen einer CD für die Polizei mit Infos über den Angriff und mit den Logs
- Abschalten des Systems - nach mehreren Jahren Uptime
Soweit ich das erkennen konnte, hat ein Angreifer root-Rechte (autsch!) auf dem System erlangt und per wget irgendwelche Warez und -sofern die Dateinamen stimmen- MS Frontpage (wtf?!) von irgendeiner dubiosen URL gezogen. Die Logs sind natürlich zum Teil gelöscht worden, IPs habe ich keine. Eine Einschätzung, die mir auch mein Provider bestätigt hat. Ein derart kompromittiertes System ist nur noch durch eine komplette Neuinstallation zu retten, daher blieb der Server vorerst einfach aus.
Warum nur?!
Auf dem alten Server lief ein altes Suse, 9.1., das sich nicht so ohne weiteres auf eine neue Version updaten ließ. Seit einiger Zeit aber stellt Suse schon keine Sicherheitspatches mehr für 9.1 zur Verfügung, und ich vermute, daß sich der Angreifer über eine alte Lücke Zutritt verschafft hat. Das Problem mit der alten Version war mir schon länger bekannt, und ich hatte mir auch fest vorgenommen, etwas dagegen zu tun… (jaja, ich weiß, ich habs nicht anders verdient).
Mein Provider reagierte aber sehr schnell und kulant und stellte mir innerhalb einer Woche ein neues, aktuelles System zur Verfügung - und so bin ich gerade damit beschäftigt, alle Backups wieder einzuspielen, die alten Passwörter auszutauschen und das System wieder funktionsfähig zu machen. Das gilt auch für RotR. Falls euch der eine oder andere Fehler mit dieser Seite auffallen sollte, bin ich für Hinweise über die Kommentare sehr dankbar.
Ich habe natürlich auch versucht, bei der Polizei Anzeige wegen des Einbruchs zu erstatten - Immerhin weiß ich nicht, welche Dateien der Angreifer mit meinem Server verschoben hat. Nichts gegen die Bereitschaftsbeamten, die auf den Polizeiwachen arbeiten: Aber schon mal versucht, jemandem der bis vor 2 Jahren Anzeigen noch per Schreibmaschine aufnahm, zu erklären, daß man einen Einbruch in ein Serversystem anzeigen möchte? Ein Riesenspaß, der einen eigenen Beitrag wert ist…
- Diesen Beitrag kommentieren
(4 andere Kommentare) - Trackback URI
Beitrag versenden
(Bisher keine Ratings)
Loading ...
Auf den Beitrag bin ich ja gespannt. Sowas solltest du ganz MC Winkel mäßisch filmen!
Böse Falle. Suse 9.1 ist ja fast 3 Jahre alt!
Aber mal zum Hack: Vor 2-3 Jahren hat in meiner Firma unsere IT mal einen ungepatchen w2k server in die DMZ gestellt (ganz grosses Kino!). Wir wunderten uns dann zum Monatsende über die gigantischen Datenmengen, die unser Provider in Rechnung stellte. Server angeschaut und nen FTP-Server gefunden, der da nix zu suchen hatte. Als wir den file-root checkten war alles klar: Jede Mengen divx rips, pr0n ohne ende, aber auch anderes zeug. Gefreut hat sich letztlich ein Kollege, dem wir 2 dvds mit ‘Bob, der Baumeister’ für Sohnemann runtergebrannt haben
Dann haben wir die Kiste zur Polizei getragen, Anzeige erstattet und wollten den Rechner als Beweismittel abgeben. Die wollten das Teil nicht haben, verstanden überhaupt nicht was wir wollten und Fazit: Der Server gammelt immer noch bei uns im Keller, abgeschrieben, aber wer weiß, ob man ihn nicht doch noch einmal braucht (rechtlich gesehen)…
Insofern wäre Deine Vorlesung über “IT und Computer Recht” jetzt doch ganz hilfreich gewesen…
…was ziemlich genau dem Alter entspricht, das auch mein root-Server hatte… selbst schuld, keine diskussion.
SCheiße, bin ich froh, daß ich das direkt am ersten Tag bemerkt hatte!
Hehe… das kommt mir schwer bekannt vor. Ich hab jetzt hier auch ne CD mit Provider-Mails und Logs rumfliegen, als Nachweis wenn da nochmal was kommen sollte.
Ich wußte, das das jemand sagen würde
Und ich hab mich gewundert wo mein meist besuchter Blog hin ist! Aber böses faul… 3 Jahre altes Suse ohne jeden Fix(nicht mal zwischendurch!?) das schreit doch förmlich nach “hack mich”