E‑Mails, die man nicht so ger­ne bekommt: „Sehr geehr­te Damen und Her­ren, Ihr Ser­ver hat einen Angriff auf einen ande­ren Ser­ver im Inter­net aus­ge­führt. Dabei wur­den erheb­li­che Netz­werk­res­sour­cen bean­sprucht und folg­lich ein Seg­ment unse­res Netz­wer­kes stark nega­tiv beein­träch­tigt. Ihr Ser­ver wur­de des­halb vor­sorg­lich deak­ti­viert. Mit freund­li­chen Grü­ßen, Ihr Hos­ting­pro­vi­der.”

Auch nach 2:00 Uhr nachts löst sowas einen anhal­tend hohen Adre­na­lin­spie­gel aus. Ich gehe dann aber doch irgend­wann ins Bett und schaue mir die Besche­rung am nächs­ten Mor­gen über die Fern­zu­griffs­kon­so­le an. Die Load ist wie­der bei 0, aber wenn in /tmp eine Datei back liegt, die ein Perl­skript beinhal­tet, das auf einem Port auf wei­te­re Kom­man­dos lau­ert, dann ist irgend­was nicht in Ordnung.

Nach umfang­rei­cher Daten­si­che­rung plät­te ich den Rech­ner und spie­le die aktu­el­le SuSE 10.3 auf. Noch bin ich aber ein wenig unschlüs­sig: War es wirk­lich nur das zuge­ge­be­ner­ma­ßen ziem­lich anti­ke Linux mit dem genau­so­gut abge­han­ge­nen Apa­che auf dem Rech­ner? Oder hat da wohl auch das nicht wirk­lich aktu­el­le Mam­bo einer der lau­fen­den Web­prä­sen­zen sein Scherf­lein zu beigetragen?

Jetzt ist jeden­falls Kul­tur­schock ange­sagt: Statt Mam­bo kommt Joom­la auf die Kis­te und wir haben auch nicht mehr PHP 4, son­dern das ja nun zuge­ge­be­ner­ma­ßen auch schon nicht mehr ganz neue PHP 5 in aktu­el­ler Ver­si­on. Inso­fern hat ja alles irgend­wie auch sein Gutes.

Die­ser Hacker oder Bot­be­trei­ber soll­te sich trotz­dem hüten, mir über den Weg zu laufen…