Sicherheit kann trügerisch sein. Das zeigt der Bericht einer auf Sicherheit spezialisierten Firma über einen Cracker-Angriff auf den Internet-Router eines Kunden. Aus Gründen der Vertraulichkeit sind sensible Informationen im Text anonymisiert.
Ende letzten Jahres wurde unsere Firma beauftragt festzustellen, ob bei einem Kunden ein Cracker-Angriff unternommen wurde. Potenzielles Ziel war ein Linux-Rechner, der als Masquerading-Rechner zwischen internem Netz und Internet fungierte und auf dessen Konsole keine Anmeldung mehr möglich war.
Der Rechner wurde von uns ausgeschaltet und mit einem unabhängigen Notsystem mittels Boot-CD wieder in Betrieb genommen, damit der Zugriff auf die SCSI-Platte des Rechners möglich wurde. Das Passwort wurde inaktiviert, dann der Rechner in dieser Konfiguration wieder in Betrieb genommen, jedoch ohne Internet- oder LAN-Verbindung.
Im Betrieb konnten wir feststellen, dass mit der Anmeldung als Benutzer Root der Prozess /bin/bd gestartet wurde, der einen Socket auf Port 53550 öffnet. Der Prozessname selbst wurde im Prozessstatus verharmlosend als ps /bd getarnt. Der Name ist vermutlich die Abkürzung für Back Door, also eine Hintertür ins System. Die Verbindung mit diesem Socket gelang mittels telnet localhost 53550, wurde jedoch nicht weiter untersucht. Es ist derzeit noch nicht genau geklärt, was dieser Prozess macht. Um das System vorerst zu sichern, wurde der Start des Prozesses beim Einloggen verhindert.
Die eingebaute SCSI-U2W-Platte enthält 8.925.000 1-KByte-Blöcke mit einer Gesamtkapazität von 8,7 GByte. Es gibt sieben Dateisysteme, nämlich /, /usr, /var, /home, /var/log, /var/squid, /var/spool/mail, die alle noch freien Platz haben. Es gibt kein Swap-Dateisystem oder wenigstens eine Swap-Datei. Die Logdateien des Systems sind von November 1999 an vorhanden, so dass von diesem Zeitpunkt an wertvolle Informationen vorlagen.
Bei der ersten Untersuchung Ende letzten Jahres wurde unter /var ein verstecktes und getarntes Verzeichnis namens " .. " (zwei Punkt und drei Leerzeichen als Verzeichnisname) gefunden, in dem einige bekannte Cracker-Programme waren. Eingehendere Untersucheungen erbrachten, dass es insgesamt sechs getarnte Verzeichnisse gab: das bereits erwähnte "/var/.. " mit 71.006 Blöcken (Hacker-Tools), "/home/[Benutzer1]/.. " mit 65323 Blöcken (Real-Media-Dateien), /home/[Benutzer1]/.sco mit zusammen 1.624.441 Blöcken (also fast 1,6 GByte!), "/home/[Benutzer2]/.. " ein leeres Verzeichnis, "/home/[Benutzer2]/.z" mit zwei MP3- und MPEG-Dateien und insgesamt 35.264 Blöcken, und "/tmp/. ". Dieses letzte Verzeichnis enthielt eine illustre Sammlung von Hacker- Tools, unter anderem einem Back-Orifice-Client, Passwort-Cracker, Passwort-Lauscher und weitere interessante Programme sowie CD-Abzügen von Windows ME und Windows ME OEM.
Zusammen waren es 872.983 Blöcke. Bei 3,6 GByte benutztem Plattenplatz wurden also etwa 2,5 GByte für Hacker-Zwecke verwendet.
Alle Rezensionen aus dem Linux-Magazin
Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...
