Ungeladene Gäste auf Freifunk-Server

Teile der Freifunk-Webseiten (die Zope/Plone-Installationen) sind auf den Servern von Letras gehostet. Häufig gibt es in letzter Zeit Nachrichten von Hackern, die auf fremden Servern agieren. Kürzlich hatten wir auch so einen ungebetenen Besuch. Hintergrundinformationen gibt es in der folgenden Mail von Werner Schultheiß.

Liebe Leute, gestern am späten Abend war das Zope/Plone-CMS, der DNS, die Mailing-Listen und 25 Minuten lang (zw. 23:13 und 23:38) das Gesamtsystem gestört, weiter heute abend die temporären Dateibereiche zeitweise nicht beschreibbar. Der Grund: Bei LETRAS war Großkampftag wegen Gästen, die sich selbst eingeladen hatten und es sich, eine Zeit lang unbemerkt, in versteckten Winkeln mit Verzeichnisnamen wie “.    ” und “.       ” unterhalb von /tmp und /dev/shm bequem gemacht hatten sowie dann über ein Loch im Apachen-Wigwam und, verkleidet als uid 33 “www-data”, häufig wieder kamen. Netterweise überließen mir die Jecken dabei eine Bash-History, die der geneigte Leser im Anhang findet. Diese half sehr beim Putzen und Abdichten, sodass die Gäste mangels Spaßfaktor jetzt verschwunden sind. Ich bin einigermaßen sicher, dass ich, mit der üblichen Restunsicherheit, die Zugänge sowie v.a. die Datenbereiche und Shell-Zugriffe wieder vollständig kontrolliere. Durch das eher am Schach- als am Ballerspiel orienterte Vorgehen musste auch nichts vom System abgerissen und neu augefsetzt werden, Tante Lenny darf in dieser virtuellen Maschine also noch eine Zeit lang mit Debian-Backports-Bandagen in der Verlängerung weiterspielen.

Für die technisch Interessierten, anbei noch eine Kopie des lauschigen .log-Verzeichnisses. $( 

Leave a Reply

Your email address will not be published.