Kategorie: Technik

Kinder, merkt euch eines: Wenn ihr krank seid, versucht nicht zu arbeiten!

Aus Langeweile dachte ich, ich könnte zumindest mal auf dem Firmenserver Updates fahren und die Logs nach Auffälligkeiten untersuchen.

Tja, und dann entdeckte ich auch eine Auffälligkeit:

bjoern@Home ~ $ ssh agentur.example.de
Enter passphrase for key '/home/bjoern/.ssh/id_dsa':
Permission denied (publickey).

Und es ging und ging nicht weg. Der Schlüssel war der richtige, denn bei meinem Server funktionierte er. Mir lag schon der Angstschweiß auf der Stirn. Ist der Server gehackt worden?

Mit nmap habe ich einen Portscan auf den Server losgelassen und tatsächlich, da waren zwei Ports, die da nichts verloren hatten. Einmal 445, der meines Wissens eigentlich normalerweise nicht zu den typischen Ports gehört, die jemand öffnet, wenn er einen Server übernommen hat. Aber 6667 ist ein sehr guter Indikator, dass da etwas nicht stimmt. Das bedeutet, dass jemand einen IRC-Server gestartet hat und damit wahrscheinlich Warez, Filme oder (Kinder)Pornos austauscht.

Echt ey, so ’nen Scheiß kann ich nicht gebrauchen. Vor allem nicht, wenn ich krank bin.

Also erst einmal Cheffe anrufen und ihm mitteilen, dass wir ein riesiges Problem haben und dass ich den Server gleich vom Netz nehmen werde. Der findet das natürlich gar nicht gut. Dann können wir ja auch keine E-Mails mehr empfangen oder versenden, was die Kunden immer am schnellsten merken. Die müssen erst einmal informiert werden.

Ich erkläre ihm erst einmal, wie ich das ganze gemerkt habe und guck dabei nochmal auf die nmap Ausgabe. Und da fällt mir etwas kritisches auf. Neben den unerwünschten Ports steht nicht "open", sondern "filtered". Unser Provider filtert die ja extra, weil diese Ports gerne automatisch geöffnet werden, wenn jemand einen Server übernommen hat.

Ein Scan von meinem privaten Server, der im gleichen Rechenzentrum steht bestätigt es. Es laufen doch nur die Dienste, die laufen sollen. Aber ich komme trotzdem nicht auf den Server. Der Server wurde aber auch nicht ganz abgehängt, weil ich immer noch eine Verbindung kriege und Mail- und Webserver noch laufen und brav ihre Arbeit verrichten. Würde die Kiste Spam versenden wäre sie schon längst vom Netz genommen worden.

Also was war da los? Ich würde wohl mir den Server ansehen müssen, während er läuft. Vielleicht entdecke ich ja einen Prozess, der da nicht hingehört. Obwohl das unwahrscheinlich ist, wenn der Hacker gut ist. Aber dann hätte er mir auch nicht den SSH-Zugriff abgeklemmt, damit er nicht auffällt.

Das war aber das Problem. Wie sollte ich ohne SSH nachsehen sollen, was da los ist?

Kein Problem, für solche Fälle bietet unser Provider die LARA an. Damit kann ich übers Internet auf den Computer zugreifen, wie als wenn ich Maus, Monitor und Tastatur direkt dran angeschlossen hätte.

Ich schicke also eine Anfrage los, ob sie mir so ein Ding dranhängen können und dann fällt mir ein wichtiges Detail ein.

Auf dem Firmenserver logge ich mich nicht mit meinem Vornamen, sondern meinem Nachnamen ein. Auf der Arbeit habe ich meinen SSH-Client so eingestellt, dass er automatisch den richtigen Benutzernamen verwendet. Zuhause habe ich das noch nicht gemacht.

Ich schreibe also dem Provider, dass ich doch keine LARA brauche, sage Cheffe Bescheid und fühle mich wie der letzte Vollidiot.

Darum Kinder, merkt euch eines: Wenn ihr krank seid, versucht nicht zu arbeiten!

Es war einer der schönsten Tage meines Lebens, als O² mir offenbarte, dass er DSL 6000 bei den rosa Leutchen bestellt hat. Sie hatten ihm versichert, dass es nun endlich gehen würde an unserem nun doch nicht ganz so abgelegenen Büro in der Kölner Innenstadt mehr als 768 kbit/s zu empfangen. Seit fast drei Wochen ist der Vertrag nun gültig. Anfangs dauerte es etwas, bis das ganze freigeschaltet war, aber das lag sicher an den Streiks.

Heute ist der neue Anschluss definitiv schon freigeschaltet, aber wir krochen immer noch mit 768 kbit/s durch’s Netz. Vielleicht war ja das Modem oder der Router zu alt. Also haben wir uns einen neuen Speedport Router aus dem T-Punkt besorgt und eingerichtet.

Daran konnte ich dann auch genau sehen mit welch einer Bandbreite wir angeschlossen waren. Genau 864 kbit/s down und 160 kbit/s up. Das ist zwar ein bisschen mehr, als vorher, aber immer noch weit von den versprochenen 6000 entfernt.

Mit Schrecken an meine früheren Telefonate mit dem Saftladen denkend griff ich zum Telefon und wählte die Support Nummer. Es dauerte eine Weile, aber irgendwann hatte ich es dann auch geschafft mich durch die Menüs zu hangeln und mit einem echten Menschen zu sprechen. (Zukunft!)

Ich hatte endlich mal einen technisch vollkommen kompetenten Ansprechpartner an der Leitung. Die Dame war freundlich und zielgerichtet darauf aus mein Problem zu lösen. Und dabei konnte sie mir technisch akkurate Informationen liefern, die ich perfekt gebrauchen konnte. Dazu muss ich noch erwähnen, dass die Dame perfektes technisches Verständnis aufzeigte, obwohl sie in der Rechnungsabteilung saß. Ich glaube das nächste Mal versuche ich direkt in dieser Abteilung anzurufen, anstatt durch’s Menü, das sicher von einem Techniker und nicht von einem aus der Rechnungsabteilung aufgesetzt worden ist, zum Technik Bereich zu navigieren, um dann doch in der Rechnungsabteilung zu landen.

Jedenfalls, diese Dame war die erste, die mir klipp und klar gesagt hat, dass auf unserer Leitung nur 768 kbit/s möglich sind. Hab‘ mich natürlich etwas aufgeregt. War dann aber auch umso verlegener, als der Akku in meinem Telefon den Geist aufgab, bevor ich der Dame sagen konnte, dass ich nicht auf sie sauer war. Ich hoffe sie hat das scheinbare mitten-im-Satz-Auflegen nicht persönlich genommen.

O² hat’s locker genommen. Wir sparen trotzdem in dem neuen Tarif über 20€ im Monat.

Einige werden sich sicher noch an mein Bestreben, dem Kollegen O Thunderbird schmackhafter zu machen, erinnern.

Nun, heute kam Kollege O² zu mir, da sein Laptop in letzter Zeit gerne mal für einige Minuten hängen bleibt. Ich habe den Computer mitgenommen, angeschlossen und erst einmal versucht im Autostart alles unnötige zu deaktivieren. Dadurch startete das Teil zwar etwas schneller, aber das war auch alles. Also musste ich wohl eine tiefere Analyse machen.

Den Download von Knoppix (zwecks Viren-Scan und Backup auf eine externe Festplatte) im Hintergrund laufend konnte ich mittels netstat herausfinden, dass während der großen Last-Zeiten der Dienst svchost.exe eine http-Verbindung zu cds203.ams.llnw.net herstellt. Die beteiligten Programme und Bibliotheken habe ich beim Online malware scan eingeschmissen, ohne Ergebnis. Aber das ganze konnte ja auch ein sehr neuer Virus sein, den noch kein Scanner kennt.

Tja, es war wirklich ein neues Problem, aber kein Virus. Durch ein Update hatte sich ein Fehler im Windows Updater selbst eingeschlichen, der eine unbeschreiblich hohe Last bei jedem Update (egal ob manuell oder automatisch) zur Folge hatte. Zum Glück gab‘ es bereits einen Patch. Danach lief alles wieder, wie vorher.

Was das ganze mit Open Source zu tun hat? Da ich den Rechner bereits in meiner Obhut hatte bat mich Kollege O² gleich noch "dieses andere Mailprogramm" zu installieren, weil OE bei ihm auch schon wieder Probleme machte.

Kollege O hat sich übrigens seit Tag 2 nicht mehr über den Vogel aufgeregt. Sie scheinen also auch Freunde geworden zu sein.