Die geschichte eines gehackten Servers

Ich mache kein großes Geheimnis draus, dass ich Leuten mit Linux-Problemen gerne mal unter die Arme greife – so wie auch in diesem Fall mit einem Heimnetzwerk. Mein Kumpel hat sich sogar so gut angestellt, dass wir zusammen einen Gentoo-Server aufgezogen haben, damit er eine Chance hat, die Zusammenhänge von diversen Services hautnah zu erleben und zu erlernen. Ich schaute ihm bei den meisten Schritten über die Schulter und sah auch zu, dass alles seine Richtigkeit hatte – alles bis auf die Passwörter, was uns am Ende auch das Genick gebrochen hat.

Man mag jetzt argumentieren, dass der SSHd mit verbotenem Root-Login einige Dinge verhindert hat, aber das was uns auf einem User-Account an Malware eingeschleust wurde, war auch nicht von schlechten Eltern. Wir bemerkten die Malware, da sich der Server bei manchen Dingen einfach komisch verhalten hatte und mein Gefühl lies mich die letzten Logins checken, was uns ein paar komisch anmutende IPs auf den Schirm brachte. IPs die uns beiden unbekannt waren.

Die Sache war für mich klar, aber um einen Beweis zu finden, schaute ich mir noch die Prozesse auf dem Server an – und es lief u.a. ein gnome-terminal. Grundsätzlich wäre das ja nicht auffällig, wenn auf dem Server etwas wie eine graphische Oberfläche vorhanden gewesen wäre. Nun, da ich einen Beweis hatte, schaute ich noch kurz in den System-Files herum und fand Spuren in /etc/cron.hourly, welche ein ’sicheres Neustarten‘ der Malware versicherten.

Was an Malware so herumflog war quer über das System verteilt und es änderten sich ständig irgendwelche Namen. Ein Reboot mit Cron deaktiviert brachte zwar ein paar Sekunden Freiheit für den Server, aber das war’s dann auch schon wieder. Für Demo-Zwecke startete ich noch einen Virenscanner, welcher – wie zu erwarten – nichts fand.

Nachdem ich meinen Verdacht nun ausreichend belegt hatte, begann alles wieder bei Null – diesmal mit SSH Keys only.

Author:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert