Ich mache kein gro\u00dfes Geheimnis draus, dass ich Leuten mit Linux-Problemen gerne mal unter die Arme greife – so wie auch in diesem Fall mit einem Heimnetzwerk. Mein Kumpel hat sich sogar so gut angestellt, dass wir zusammen einen Gentoo-Server aufgezogen haben, damit er eine Chance hat, die Zusammenh\u00e4nge von diversen Services hautnah zu erleben und zu erlernen. Ich schaute ihm bei den meisten Schritten \u00fcber die Schulter und sah auch zu, dass alles seine Richtigkeit hatte – alles bis auf die Passw\u00f6rter, was uns am Ende auch das Genick gebrochen hat.<\/p>\n
Man mag jetzt argumentieren, dass der SSHd mit verbotenem Root-Login einige Dinge verhindert hat, aber das was uns auf einem User-Account an Malware eingeschleust wurde, war auch nicht von schlechten Eltern. Wir bemerkten die Malware, da sich der Server bei manchen Dingen einfach komisch verhalten hatte und mein Gef\u00fchl lies mich die letzten Logins checken, was uns ein paar komisch anmutende IPs auf den Schirm brachte. IPs die uns beiden unbekannt waren.<\/p>\n
Die Sache war f\u00fcr mich klar, aber um einen Beweis zu finden, schaute ich mir noch die Prozesse auf dem Server an – und es lief u.a. ein gnome-terminal. Grunds\u00e4tzlich w\u00e4re das ja nicht auff\u00e4llig, wenn auf dem Server etwas wie eine graphische Oberfl\u00e4che vorhanden gewesen w\u00e4re. Nun, da ich einen Beweis hatte, schaute ich noch kurz in den System-Files herum und fand Spuren in \/etc\/cron.hourly, welche ein ’sicheres Neustarten‘ der Malware versicherten.<\/p>\n
Was an Malware so herumflog war quer \u00fcber das System verteilt und es \u00e4nderten sich st\u00e4ndig irgendwelche Namen. Ein Reboot mit Cron deaktiviert brachte zwar ein paar Sekunden Freiheit f\u00fcr den Server, aber das war’s dann auch schon wieder. F\u00fcr Demo-Zwecke startete ich noch einen Virenscanner, welcher – wie zu erwarten – nichts fand.<\/p>\n
Nachdem ich meinen Verdacht nun ausreichend belegt hatte, begann alles wieder bei Null – diesmal mit SSH Keys only.<\/p>","protected":false},"excerpt":{"rendered":"
Leider ist der Eintrag nur auf English verf\u00fcgbar.It’s not a big secret that I am helping out other people when they have Linux issues – and so I did at this fellows network. In fact, we did a Gentoo server together to give him some chance to learn more about Linux and how things work together. I double-checked […]<\/p>\n","protected":false},"author":7,"featured_media":1774,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[39,22,601],"class_list":["post-1773","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-related-stuff","tag-gentoo","tag-linux","tag-malware"],"_links":{"self":[{"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/posts\/1773","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/users\/7"}],"replies":[{"embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/comments?post=1773"}],"version-history":[{"count":0,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/posts\/1773\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/media\/1774"}],"wp:attachment":[{"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/media?parent=1773"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/categories?post=1773"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/tags?post=1773"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}