Im Grunde genommen ist alles ganz einfach. Der Server, auf welchem ProbloggerWorld gehostet wird, wurde gehackt und umgehend als DoS-Bot zu einer DoS-Attacke zwecksentfremdet. Interne Schutzsoftware roch den Braten und schaltete den Server ab, um weitere Schäden zunächst einmal zu vermeiden.

Allerdings steckt der Teufel im Detail. Aneinandergereiht ergeben die vielen Teufelchen der reichlich vorhandenen Details ein erzählenswertes Drama, das kein Drehbuch-Autor der Welt hätte besser konstruieren können.

Am Ende, als sich die Rauchwolken gelichtet hatten, stand der Server wieder. Viele Zufälle pflasterten jedoch diesen Weg. Jede Geschichte respektive Katastrophe hat einen Anfang.

Es war einmal…

Die schreckliche Server-Geschichte

Mittwoch abend, 8.8.2007, fuhr ich mit dem ICE von Zürich zurück nach Frankfurt, meinem Hauptwohnsitz, wo auch mein PC weilt, vom welchem aus ich die gröbsten Arbeiten an meinem vServer, von dem hier die Rede ist, erledige.

Zurückgelassen hatte ich in Zürich meinen Laptop, der für Notfälle als auch zum Artikelschreiben taugt und auf welchem Outlook, mein Email-Programm, seinen Dienst verrichtet.

Zurückgelassen hatte ich meinen Laptop deshalb, da ich am Samstag morgen, 11.8.2007, wieder von Frankfurt gen Zürich fahren wollte, um mir die Streetparade zu geben, Europas größte Techno-Veranstaltung.

Für zweieinhalb Tage – weshalb sollte ich da mein Laptop mitschleppen? Emails konnten auch per Webmail beantwortet werden, außerdem hatte ich alles, was ich zum Bloggen benötigte auf meinem USB-Stick und eben auf dem heimischen PC. Ohnehin wollte ich Mittwoch nacht endlich die überfälligen Upgrade-Arbeiten am vServer vornehmen.

Was also sollte das Mitnehmen des Laptops rechtfertigen? Hatte es nicht endlich einmal eine Pause verdient nach all den Monaten, in welchen es mich treu und verläßlich begleitet hatte, zuletzt nach Spanien und hierauf auch wieder einmal, wie so oft, nach Zürich?

Ich beschloß also, diesem meinem Laptop eine persönliche Wellness-Kur zu gönnen und es unbenutzt in Zürich weilen zu lassen.

Die Katastrophe nimmt ihren verhängnisvollen Lauf

Gegen 0:30 in der Nacht an jenem Mittwoch im trauten Heime in Frankfurt angekommen, führte mich mein Gang sogleich zur Verteilersteckdose (für die Schweizer: Stromschiene), die ich einstöpselte, damit mein PC Kraft durch Saft schöpfen könne für die Arbeit, die nun vor uns lag.

Über 20 Jahre Erfahrung bei der Inbetriebnahme von Computern wurden mobilisiert, als ich routiniert auf den Einschaltknopf des PCs drückte, eines schwarzen Knopfes innerhalb eines sexy schwarzen Gehäuses, der lärmgedämmt ist, um meine Ohren vor den akustischen Beeinträchtigungen des Summens der Computer-Bauteile wie Lüfter und Festplatten zu bewahren.

Teufel Nr. 1: Der laute Knall

Stets war diese Routine des Einschaltens von Erfolg gekrönt gewesen, gewissermaßen war ich ein Einschalt-Champion. Nach Betätigung des Knopfes wendete ich mich vom PC ab, um mir die Hände zu waschen. Auch hinter diesem Vorgang steckt Routine und jahrelange Übung.

Überschattet wurde diese Überlegung, ins Bad zu gehen, wo ich mir die Hände wie gewohnt waschen wollte, von einem lauten Knall. Hatte ich CDs vom Tisch gerissen beim Gang ins Bad?

Ein sonderbarer Geruch strömte auf mich zu und das Aroma dessen gesellte sich zu meinen nachhängenden Gedanken an den Knall. Jetzt dämmerte es auch bei mir, gewissermaßen hatte es auch einen synaptischen Knall gegeben!

Aus dem Netzteil des PCs entwich der Geruch des Grauens und verbreitete einen üblen Gestank, welcher alleine dazu angetan gewesen wäre, mir Schmerzen aufs Gesicht zu zaubern. Das Netzteil war weggeschmort. Gewißheit ergab das erneute Drücken auf den Einschalter des PC – nichts tat sich. Wozu hatte das sündhaft teure Enermax-Netzteil eigentlich eine Sicherung?

Teufel Nr. 2: Der Laptop steht in Zürich, nicht in Frankfurt

Mit Laptop hätte mir das gleichgültig sein können, aber so? Der Laptop stand, wie eingangs erwähnt, in Zürich.

Teufel Nr. 3: Der PC ist schwerverletzt, genaugenommen klinisch sehr tot

Unruhig verbrachte ich die Nacht. Am frühen Morgen, am Donnerstag, friemelte ich aus einem ausrangierten PC ein Netzteil hervor, um es an den arg in Mitleidenschaft gezogenen PC notdürftig anzubringen und Wiederbelebungsversuche am offenen Herzen durchführen zu können.

Mit nämlichem, funktionstüchtigem Netzteil ließ sich der PC jedoch nicht zum Leben erwecken. Tests ergaben, daß Kollateralschäden zu verzeichnen waren. Das Mainboard wurde gleich mit abgeschossen.

Donnertag, 9.8.2007, 10 Uhr Ortszeit

Erste Worst-Case-Überlegung: bis Freitag keine neuen Beiträge im Blog und auch keine Beantwortung der Emails. Damit konnte ich mich abfinden.

Teufel Nr. 4: Der vServer ist auch noch down

Abends war ich dann bei einer Bekannten und ließ es mir nicht nehmen, ihren PC für einen Sprung auf meinen Blog zu nutzen. Rasch die URL eingetipt und gewartet. Nichts tat sich. Nichts tat sich auch 30 Minuten später. 60 Minuten später immer noch kein Lebenszeichen.

Böse, dachte ich mir, einfach nur böse, und vor allem hilflos, einfach nur hilflos sah ich mich diesem Befund gegenüberstehen. Mir waren die Hände gebunden, denn die Speziallinks, die mich in die geheimnisvollen Untiefen der Server-Einstellungen und Server-Konfiguration führten als auch wichtige Serverdaten lagen zu Hause. Erst gegen Abend hätte ich die Unterlagen holen und nutzen können.

Donnerstag, 9.8.2007, 14:30 Uhr Ortszeit

Modifizierte Worst-Case-Überlegung bis dahin: Server abgestürzt, vermutlich bzw. hoffentlich erst seit Donnerstag.

Abends weilte ich samt Server-Unterlagen, mit welcher ich den Server wieder zum Laufen zu bringen gedachte, bei meinem Vater.

Klug wie ich war, hatte ich zumindest meine Server-Unterlagen von Zürich nach Frankfurt mitgenommen. Aufbewahrt hatte ich sie dieses Mal sogar im Handgepäck und nicht im Koffer, auch wenn ich nicht mit dem Flugzeug reiste, sondern per ICE, also Bahn.

Teufel Nr. 5: Der Server ist nicht nur down, sondern auch noch teilgesperrt worden

Über Umwege fand ich einen Hinweis, daß mein Server teilgesperrt worden sei. Was, teilgesperrt!? Nie gehört hatte ich das Wort im Zusammenhang mit meinem oder überhaupt einem Server, aber wohlwollend oder gar vielversprechend-ermunternd klang das irgendwie nicht.

Zu diesem Zeitpunkt wußte ich noch nicht, was angesichts der Teilsperrung des Servers mit jenen Emails widerführe, welche ich während der der Periode des Server-Ausfalls bezog. Genaugenommen weiß ich es jetzt auch noch nicht so recht.

Teufel Nr. 6 und Nr. 7: Der Server ist down und teilgesperrt, da er gehackt wurde und auch noch zum Werkzeug einer DoS-Attacke herabgewürdigt worden war

Bestätigt wurde diese üble Befürchtung durch den notwendigen als auch erforderlichen Anruf beim Strato-Kunden-Zentrum. Teilgesperrt worden war der Server, da über ihn eine DoS-Attacke gelaufen sei in den frühen Morgenstunden des Donnerstag.

DoS-Attacke – über meinen Server? Aufs Maul!

Gehackt! entfuhr es mir. Mein geliebter Server wurde gehackt. Empfohlen wurde mir seitens des Strato-Technikers, auf dessen Stimme ich 15 Minuten warten mußte und derweil in der Warteschleife auszuharren hatte, den RecoveryManager des vServers zu nutzen. Über den RecoveryManager könne man auf das Rettungssystem des vServers zugreifen und derart den Server wieder starten. Rettungssystem – welch Wohlklang!

Teufel Nr. 8: RecoveryManager mag nicht bzw. kann nicht

Easy, paßt schon, Hauptsache der Server geht wieder online.

Dummerweise ist der RecoveryManager bei einer Teilsperrung des vServers über einen Remote-Zugriff nicht nutzbar, weil nicht verfügbar. Bei den vServern wird diese Funktion nur eingeschränkt zur Verfügung gestellt, während die High-End-Server aus dem Hause Strato jederzeit per Fernzugriff damit gesteuert werden können – eben wegen des Falls der Fälle.

Als ich diesen Umstand feststellte, befand sich das Kunden-Zentrum Stratos jedoch bereits im verdienten Feierabend.

Donnerstag, 9.8.2007, 18 Uhr Ortszeit

Erneut modifizierte Worst-Case-Überlegung bis dahin: Server down, und vor Samstag geht nichts, gar nichts, denn am Freitag hatte ich keinen Computer samt Internet zur Verfügung, mittels dessen ich den entsperrten Server hätte flicken als auch das Ausmaß der möglichen Schäden überschauen können.

Moment! In meiner Wohnung befanden sich doch noch urtümliche PC-Gerätschaften antiquarischen Wertes. Ob die Museumsstücke der Computer-Entwicklung doch noch den Sprung in die Neuzeit würden schaffen können? Im Kino-Hit Transformers ging das doch auch gut und was die können!

Die Hoffnung, eine alte Windows Millennium-Kiste mit Duron 1300 noch ans Internet zu bekommen, zerstob jedoch rasch. Dazu fehlten PPoE-Treiber – und wo bekommt man diese her, wenn man die Installations-Disketten – Disketten! – irgendwo im Keller, falls überhaupt, rumfliegen hat? Richtig, aus dem Internet, und ohne Internet kein Internet, so einfach liegen manchmal die Verhältnisse.

Freitag, 10.8.2007

Den Freitag verbrachte ich unter anderem damit mir in Gedanken lebhaft und in dick aufgetragenen Farben auszumalen, wie ich die debilen Kretins, die meinen Server zerschossen hatten, quälen würde. Einzelheiten erspare ich euch lieber bzw. teile ich nur per Email an Personen nicht unter 18 Jahren mit.

An einen Internetanschluß kam ich nicht, denn, ein weiterer Zufall, sämtliche meiner Freunde aus dem Umkreis mit PC und Internetzugang waren zu diesem Zeitpunkt ausgeflogen. Per Telephon Anweisungen in die Ferne geben wollte ich dann auch nicht, um den Schaden nicht noch zu verschlimmbessern.

Vorläufige Worst-Case-Überlegung: Trags mit Fassung, Humor ist, wenn man trotzdem lacht. Und das tat ich sodann ausgiebig.

Samstag, 11.8.2007

Samstag ging es zurück nach Zürich, an jenen Ort also, wo mein Laptop weilte, auf welchem meine Hoffnung ruhte und welches ich zurückgelassen hatte nicht ahnend, daß mein PC das Zeitliche hätte segnen können.

Immerhin gab es am Samstag keinen Streik der Lokführer zu fürchten. Das wäre die Pointe der Woche gewesen, denn ich fuhr mit dem ICE gen Schweiz.

Zurück in Zürich, blieb nicht viel Zeit.

Worst-Case-Überlegung des Samstag: Ich könnte große Teile der Streetparade verpassen, welche gegen 13 losging und bis in die Nacht fortdauerte, wenn die Server-Arbeiten äußerst umfangreich ausfallen würden.

Prioritäten mußten gesetzt werden und im Falle eines Server-Hacks waren dies insbesondere und zuvörderst Sichtung der Schäden, Beweissicherung, retten, was noch zu retten ist und Neuaufsetzen des Servers.

Zürich am Samstag, 11.8.2007, ca. 12 Uhr Ortszeit

Zunächst einmal mußte das Laptop anspringen – angesichts der bisherigen Glückssträhne hielt ich es nicht einmal mehr für ausgeschlossen, daß das Laptop auch noch Opfer der Verschwörung wider mich geworden war und demnach ähnlich funktionstüchtig wie mein PC hätte sein können, nämlich gar nicht.

Indessen lief der Laptop tadellos, wenigstens etwas also, ein Anfang.

Aktion Server-Entsperrung lief an

Umgehend rief ich sodann beim Strato-Zentrum an zwecks Erörterung der weiteren Vorgehensweise in betreff der Entsperrung des vServers. Gesagt, getan.

Überrascht wurde ich von der Feststellung, daß man nicht von der Schweiz auf die 01805-Nummer, die kostenpflichtig ist, mittels Festnetz zugreifen konnte. Hervorragend! Bahnte sich etwa Teufel Nr. 9 an?

Hoffentlich funktioniert es wenigstens mit meinem Handy, was es dann auch tat. Dieses Mal hatte ich einen Techniker sofort am Apparat, die gefürchtete Wartezeit von 15 Minuten blieb mir Gott sei Dank erspart.

Der nette Mensch war kompetent und gelassen nahm er sich meines Problems an. Ablauf und Zeitpunkt der Entsperrung des vServers wurden durchgesprochen, so daß nach nicht einmal einer Stunde der Server wieder am Netz war.

Welcome back, mein geliebter Server!

Endlich! Nach zweieinhalb Tagen gab mein Server wieder ein Lebenszeichen von sich, wurde wieder aus dem Winterschlaf geholt, in welchen er zwangsweise versetzt worden war. Zufriedenheit, das Gefühl, eine große Hürde genommen zu haben, bemächtigte sich meiner.

Sogleich begab ich mich ans Werk. Mit detektivischem Spürsinn und kriminalistischem Geschick begab ich mich auf Spurensuche nach den Server-Schändern, stets getrieben von dem Gedanken, den Arschlöchern, die mir den Ärger eingehandelt hatten, selbst noch kräftig einen Tritt in den Allerwertesten mitgeben zu können getreu dem Motto Don’t mess with René!

Und nun zum Hack

Zu meinem Erstaunen entpuppte sich der Hack als eher müder Exploit wohl pubertierenden Pseudo-7331-Hax0rs.

Nicht einmal die Logdateien des Servers hatten diese Amateure gelöscht und sämtliche Einsprungsadressen waren ohne weitere Hacker-Finessen wahrgenommen worden – Danke an dieser Stelle, daß ihr mir eure Visitenkarte zurückgelassen hattet. ;)

Glück im Pech: Datenverlust hielt sich sehr in Grenzen

Datenverlust im engeren Sinne entstand keiner abgesehen vom ausgefallenen Email-Server, lediglich ein Trojaner wurde aufgespielt, mittels welchem die Kids eine DoS-Attacke fahren konnten auf andere Rechner, was sie sodann auch taten. Infolgedessen schaltete sich dann der Server ab. Das war alles.

Der Daten-Schaden war damit verhältnismäßig gering ausgefallen, genaugenommen wurde der Server nur um ein wenig Code bereichert, ohne den Schaden relativieren zu wollen. Genauere Angaben zur Vorgehensweise der krassen Häggä als auch des Exploits werde ich (noch) nicht machen. Man muß das Schicksal kein zweites Mal herausfordern.

Des Admins Liebling: aktuelle Backups

Nach der Analyse der betroffenen Stellen fuhr ich dann Backups der Daten und installierte den Server komplett neu auf Basis eines neuen Linux-Kernels etc.

Geplant hatte ich die Neuinstallation des Systems für Samstag nacht. Nunmehr wollte ich ein wenig auf der Streetparade bei ein wenig Druckbeschallung relaxen. Irgendwo auf der Streetparade wollte auch Ricardo herumzappeln, welchen ich vielleicht sehen könnte.

Teufel Nr. 9: Streetparade etwa ohne Treffen mit Ricardo?!

Während der Zeit in Frankfurt kam ich nicht an meine Emails heran, weshalb es nicht möglich war, sich für die Streetparade irgendwo irgendwann und irgendwie zu verabreden, daher verleihe ich diesem Umstand einen Teufel ehrenhalber, also Teufel Nr. 9.

Sonntag mittag: Der vServer steht wieder und erstrahlt in neuem Glanze

Anderntags, am Sonntag mittag 13 Uhr Ortszeit, war dann alles geschafft. Blogs, Forum und Emails – alles werkelte wieder zuverlässig vor sich hin.

Was bleibt?

Festzuhalten bleibt, daß ich die Sache mit Humor genommen habe. Letztlich stellte der Server-Ausfall einer Herausforderung dar, die es zu meistern galt.

Das Betriebssystem-Upgrade, das den Einbruch auf den Server verhindert hätte, wollte ich Stunden zuvor einspielen, als der Server gehackt worden war. Benötigt wurde hierzu jedoch ein lauffähiger PC. Welch ein Zufall! ;)

Erfahrung gemacht

Interessant war es schon mit einem Server-Einbruch konfrontiert worden zu sein. Um mich vor Angriffen dieser und anderer Art feien zu können, hatte ich während meines Spanien-Aufenthaltes nahe Lloret de Mar an der Costa Brava ein entsprechendes Konzept entwickelt. Dessen Notwendigkeit wurde nunmehr eindrucksvoll bewiesen.

Datensicherung ist wichtig, sehr wichtig sogar

Für den Fall der Fälle war ich wenigstens vorbereitet. Datensicherung hat bei mir einen hohen Stellenwert, weshalb auch im Falle des Server-Einbruchs mit Datenverlust nicht das Ende aller Tage gewesen wäre.

Immerhin erhielt ich durch den Hack Einsicht in die Mechanismen, die sich an einen solchen schwerwiegenden Vorfall ranken. Das ist ein kaum zu unterschätzender Wert für die künftige Blog-Arbeit.

Der Schatten, den das Licht wirft

Unerwähnt bleiben darf jedoch nicht, daß es auch viel Schatten gab. Dankbarkeit für den Hack habe ich keine übrig, auch wenn die damit verbunden Erfahrungen faszinierend waren. Auf der Soll-Seite der Rechnung stehen unter anderem folgende Dinge:

  • Nichterreichbarkeit des Servers zwischen Donnerstag morgen, 9.8.2007, und Samstag mittag als auch Samstag abend bis Sonntag mittag.
  • Beeinträchtigt waren infolge des Server-Ausfalls mehrere Blogs und ein Forum.
  • Nichterreichbarkeit einer Website bedeutet auch fehlende Einnahmen.
  • Die Zeitaufwendungen waren enorm. Ca. 20 Stunden verbrachte ich rund um den Server. Zudem entstanden Kosten für den Strato-Support.
  • Email-Verlust
  • Höherer Traffic-Verbrauch

Weitere Posten kommen noch hinzu, doch werde ich diese in einer Gesamtschau zum Thema Server-Einbruch anführen und vertiefen.

Der Schaden und die Folgen für den/die Hacker

Quantifizieren kann man den Schaden mit einer Summe in Höhe von etwa 1.000€. Server-Knacken ist für die einen Spaß und Zeitvertreib, für andere dagegen alles andere als ein Scherz am Rande, zumal wenn man sein destruktives Verhalten mit einer DoS-Attacke auf einen anderen Server krönt, um noch weitere Personen massiv zu schädigen.

Insbesondere aus diesen Gründen werde ich auch Anzeige erstattet. Gegenwärtig ist noch nicht abzusehen, welche Resultate der Hack noch zeitigen wird, jedoch wird das alles den respektive dem entsprechenden Hacker auf die Rechnung gesetzt. Möglicherweise war der Hack ein verkapptes Lob an mich, ich weiß es nicht, und recht besehen ist es mir auch völlig gleichgültig.

Persönliche Würdigung

Leben und leben lassen, aber alles gefallenlassen muß man sich nicht, im Gegenteil. Wer austeilt, muß auch einstecken können. :D

Meinen Blogs bzw. damit umgesetzten Projekten fühle ich mich sehr verpflichtet und zudem stehe ich auch in der Verantwortung gegenüber meinen Lesern, Freunden und Geschäftspartnern.

Gerade die Zeit, die für die Server-Instandsetzung draufgegangen ist, wollte ich unter anderem für bestehende und neue Projekte aufwenden, die nunmehr allesamt vorübergehend zurückstehen müssen. Vor dem Hintergrund dessen, daß einiges an Arbeit während meines Urlaubs in Spanien liegengeblieben ist, ist dies doppelt ärgerlich.

Licht und Schatten also begleiten den Server-Ausfall. Unter dem Strich hilft einem über solche Begebenheiten jedoch nur eines: Humor. Die Story in ihrer Gesamtheit ist irgendwie auch zu gut, als daß man nicht auch darüber schmunzeln könnte.

Abseits dessen bin ich froh, endlich wieder mit ProbloggerWorld loslegen zu können. Wenigstens funktioniert der Laptop noch. :)

Weitere Informationen zu Sicherheits-Updates, Security-Patches und Bug-Fixes rund um Server-Software

Update, 16.8.2007

  • Nicht nur mich ereilen solche Server-Hack-Schicksale. Die Hauptserver der Linux-Distribution Ubuntu hatte es auch erwischt.

Update, 17.8.2007

  • Ein Sicherheits-Update ist für die auch auf Servern eingesetzte Linux-Distribution Debian Etch 4.0 erschienen. Neue Revisionsnummer von Debian Etch ist damit 4.0r1. Fehler wurden ebenfalls beseitigt.
  • Und weiter gehts mit dem Security-Update-Reigen, dieses Mal beim Gentoo-Projekt. Betroffen waren die Gentoo-Server aufgrund einer SQL-Injection-Sicherheitslücke.

Wenn Dir der Artikel gefallen hat, registriere den kostenlosen RSS-Feed von ProbloggerWorld und drück einmal auf den Voting-Button “YiGG”.