Neben dieser Website, betreibe ich mit Christian, einem Geschäftspartner, auch andere Webpräsenzen. Nachdem 1&1 in einem Fax auf den Mißbrauch eines V-Servers hinwies, war also Aktionismus gefragt

Es war eingebrochen worden und jemand mißbrauchte den V-Server zum Scannen von SIP-Servern, um dann vermutlich den Zugriff darauf für kostenlose Telefonate zu verwenden, oder schlimmer, die eigene Identität und Herkunft in Telefonaten zu verschleihern.

Mir fallen dabei gleich Kidnapping und Lösegeldforderung ein.

Als Gegenmaßnahmen wurden die vielen Apache-Modulen ausgeschaltet und der ssh-Zugriff mit einem neuen Passwort versehen.

Dennoch konnten wieder Zugriffe beobachtet werden, der Angreifer muß in irgendeiner Form sich die neuen ssh-Passwörter zusenden lassen, der Verdacht fiel zunächst auf das Admin-backend von 1&1, eine Sackgasse.

Als wir uns bereits darauf verständigten den V-Server platt zu machen und alles neu aufzusetzen, fiel Christian der im Vergleich zu Quellen 40byte größere ssh-Dämon auf. Und zwar schaute er genauer hin, weil der Angreifer eine ssh_old hinterließ.

Der Angreifer hatte zwar die ssh_old versteckt abgelegt (unsichtbar für mc bspw.) ls ließ sich gleichwohl nicht täuschen und offenbarte diesen Lapsus. Dennoch ist das gelungene Verstecken dieser Datei ein Rätsel.

Das gezielte Vorgehen und Ersetzen des ssh-Dienstes mit einem eigens manipulierten Dienst, ist beachtlich, dennoch bekommt er Punktabzug für Schlampigkeit. Christian vermutet im Nachgang, daß eher eine Wörterbuchattacke auf das ssh-Passwort, als eine Sicherheitslücke als Angriffsvektor diente.

Der Punktabzug geht also auch auf unser Konto. Der Angreifer hinterließ übrigens einen email-Adresse, wir könnten also mit dieser Person Kontakt aufnehmen und uns bspw. über dessen Mutter unterhalten.