Björn Tantau

Kinder, merkt euch eines: Wenn ihr krank seid, versucht nicht zu arbeiten!

Aus Langeweile dachte ich, ich könnte zumindest mal auf dem Firmenserver Updates fahren und die Logs nach Auffälligkeiten untersuchen.

Tja, und dann entdeckte ich auch eine Auffälligkeit:

bjoern@Home ~ $ ssh agentur.example.de
Enter passphrase for key '/home/bjoern/.ssh/id_dsa':
Permission denied (publickey).

Und es ging und ging nicht weg. Der Schlüssel war der richtige, denn bei meinem Server funktionierte er. Mir lag schon der Angstschweiß auf der Stirn. Ist der Server gehackt worden?

Mit nmap habe ich einen Portscan auf den Server losgelassen und tatsächlich, da waren zwei Ports, die da nichts verloren hatten. Einmal 445, der meines Wissens eigentlich normalerweise nicht zu den typischen Ports gehört, die jemand öffnet, wenn er einen Server übernommen hat. Aber 6667 ist ein sehr guter Indikator, dass da etwas nicht stimmt. Das bedeutet, dass jemand einen IRC-Server gestartet hat und damit wahrscheinlich Warez, Filme oder (Kinder)Pornos austauscht.

Echt ey, so ’nen Scheiß kann ich nicht gebrauchen. Vor allem nicht, wenn ich krank bin.

Also erst einmal Cheffe anrufen und ihm mitteilen, dass wir ein riesiges Problem haben und dass ich den Server gleich vom Netz nehmen werde. Der findet das natürlich gar nicht gut. Dann können wir ja auch keine E-Mails mehr empfangen oder versenden, was die Kunden immer am schnellsten merken. Die müssen erst einmal informiert werden.

Ich erkläre ihm erst einmal, wie ich das ganze gemerkt habe und guck dabei nochmal auf die nmap Ausgabe. Und da fällt mir etwas kritisches auf. Neben den unerwünschten Ports steht nicht "open", sondern "filtered". Unser Provider filtert die ja extra, weil diese Ports gerne automatisch geöffnet werden, wenn jemand einen Server übernommen hat.

Ein Scan von meinem privaten Server, der im gleichen Rechenzentrum steht bestätigt es. Es laufen doch nur die Dienste, die laufen sollen. Aber ich komme trotzdem nicht auf den Server. Der Server wurde aber auch nicht ganz abgehängt, weil ich immer noch eine Verbindung kriege und Mail- und Webserver noch laufen und brav ihre Arbeit verrichten. Würde die Kiste Spam versenden wäre sie schon längst vom Netz genommen worden.

Also was war da los? Ich würde wohl mir den Server ansehen müssen, während er läuft. Vielleicht entdecke ich ja einen Prozess, der da nicht hingehört. Obwohl das unwahrscheinlich ist, wenn der Hacker gut ist. Aber dann hätte er mir auch nicht den SSH-Zugriff abgeklemmt, damit er nicht auffällt.

Das war aber das Problem. Wie sollte ich ohne SSH nachsehen sollen, was da los ist?

Kein Problem, für solche Fälle bietet unser Provider die LARA an. Damit kann ich übers Internet auf den Computer zugreifen, wie als wenn ich Maus, Monitor und Tastatur direkt dran angeschlossen hätte.

Ich schicke also eine Anfrage los, ob sie mir so ein Ding dranhängen können und dann fällt mir ein wichtiges Detail ein.

Auf dem Firmenserver logge ich mich nicht mit meinem Vornamen, sondern meinem Nachnamen ein. Auf der Arbeit habe ich meinen SSH-Client so eingestellt, dass er automatisch den richtigen Benutzernamen verwendet. Zuhause habe ich das noch nicht gemacht.

Ich schreibe also dem Provider, dass ich doch keine LARA brauche, sage Cheffe Bescheid und fühle mich wie der letzte Vollidiot.

Darum Kinder, merkt euch eines: Wenn ihr krank seid, versucht nicht zu arbeiten!