Server gehackt

E-​Mails, die man nicht so gerne bekommt: „Sehr geehrte Damen und Her­ren, Ihr Ser­ver hat einen Angriff auf einen ande­ren Ser­ver im Inter­net aus­ge­führt. Dabei wur­den erheb­li­che Netz­wer­kres­sour­cen bean­sprucht und folg­lich ein Seg­ment unse­res Netz­wer­kes stark nega­tiv beein­träch­tigt. Ihr Ser­ver wurde des­halb vor­sorg­lich deak­ti­viert. Mit freund­li­chen Grü­ßen, Ihr Hos­ting­pro­vi­der.”

Auch nach 2:00 Uhr nachts löst sowas einen anhal­tend hohen Adre­na­lin­spie­gel aus. Ich gehe dann aber doch irgend­wann ins Bett und schaue mir die Besche­rung am nächs­ten Mor­gen über die Fern­zu­griffs­kon­sole an. Die Load ist wie­der bei 0, aber wenn in /tmp eine Datei back liegt, die ein Perlskript beinhal­tet, das auf einem Port auf wei­tere Kom­man­dos lau­ert, dann ist irgend­was nicht in Ordnung.

Nach umfang­rei­cher Daten­si­che­rung plätte ich den Rech­ner und spiele die aktu­elle SuSE 10.3 auf. Noch bin ich aber ein wenig unschlüs­sig: War es wirk­lich nur das zuge­ge­be­ner­ma­ßen ziem­lich antike Linux mit dem genau­so­gut abge­han­ge­nen Apa­che auf dem Rech­ner? Oder hat da wohl auch das nicht wirk­lich aktu­elle Mambo einer der lau­fen­den Web­prä­sen­zen sein Scherf­lein zu beigetragen?

Jetzt ist jeden­falls Kul­tur­schock ange­sagt: Statt Mambo kommt Joomla auf die Kiste und wir haben auch nicht mehr PHP 4, son­dern das ja nun zuge­ge­be­ner­ma­ßen auch schon nicht mehr ganz neue PHP 5 in aktu­el­ler Ver­sion. Inso­fern hat ja alles irgend­wie auch sein Gutes.

Die­ser Hacker oder Bot­be­trei­ber sollte sich trotz­dem hüten, mir über den Weg zu laufen…