Hack

Wie meine zahlreichen Leser sicherlich bemerkt haben war schiffr.de eine Zeit lang nicht erreichbar.
Grund hierfür war ein „Hack“ Angriff auf meinen Webserver.

Zum Glück hatte der Angreifer nicht wirklich viel Zeit bis seine Aktionen aufgeflogen sind und der Server vom Netz genommen wurde. Nach dem Vorfall konnte ich mir die Log Dateien mal vornehmen und schauen was der/die Gute da so angestellt hat.

Reingekommen ist er über eine Sicherheitslücke in meinem FTP Server, VSFTP. Ich hatte diesen so eingerichtet, dass er die Benutzerdaten aus einer MySQL Datenbank ausliest. Der Angreifer kam wohl in diese Datenbank und hatte so Benutzernamen und Passwörter. Er loggte sich mit dem Account eines Freundes für den ich ein paar Sachen hoste ein und hat dort ein PHP Serververwaltungsscript hochgeladen.
Dann merkte er, dass der FTP Account auf das Verzeichnis beschränkt war (und hat glaube ich nicht mal den richtigen Webroot gefunden) und probierte die anderen FTP Accounts durch. Hierbei erwischte er leider meinen, der ein paar Rechte mehr hat -.-

Auch bei diesem Account installierte er sein PHP Interface und konnte dadurch einen IRC Bot hochladen und starten. Schätzungsweise wollte er Warez über meinen Server verteilen oder ihn in ein Botnetz zum Spammen/DDossen integrieren. Der Bot hat dann einen Überwachungsprozess getriggert und der Server war offline.

Laut IP kam der gute Mensch aus China, aber das heißt ja nichts.
Backup sei dank habe ich den Server fast ohne Verluste wieder neu einspielen können. Auch eine neue und aktuellere Version des Betriebssystems ist drauf, nur beim FTP Server bin ich noch ein bisschen am überlegen 😉 Denke es wird Zeit für SFTP …