# Hartnäckiger Hacker - Chance ihn zu kriegen?



## MurphysLaw (3 Mai 2009)

Hallöle miteinander!

Ich habe da mal eine Frage:
Kurz vor Ostern hat sich mein McAfee (Enterprise, mit Antispyware-Modul) mit einer Warnung gemeldet: Trojaner entdeckt und auch gleich gesäubert. Prima, dachte ich.
Als er dann aber weitere Varianten meldete (und säuberte), habe ich erst mal das Netzwerkkabel gezogen, neu gestartet, ge-HijackThissed, Spybotted, Cache & Temp Dateien gelöscht, RegClean etc. - der übliche Affentanz eben.
:motz:

Zwei Tage später dann, am Karfreitag, fiel mir erst mal die Kinnlade runter:
Mein FTP-Log verkündete mir nämlich, dass der FTP kompromittiert war. Jemand hatte sich mit meinen Logindaten (und zwar mit allen den verschiedenen, die ich habe) auf meinem FTP eingeloggt, und meine Webseite mit einem hübschen, versteckten IFrame "verziert". Einem  infizierten, natürlich...
:evil:

Gott sei Dank prüfe ich die Logs täglich, glücklicherweise auch am Karfreitag. Der "Einbruch" fand morgens um kurz nach Achte statt, um halb Eins hatte ich ihn bemerkt und sofort den Schaden behoben.
FTP-Dienst abgeschaltet, alle Logins geändert, den Server, auf dem der FTP läuft, gecheckt (sauber), mein komplettes Webroot-Verzeichnis gelöscht und dann das saubere Paket des aktuellen Stands der Website wieder hochgeladen.
Anhand der verwendeten Logins wusste ich natürlich sofort, dass dies der Urheber des Trojaners und somit Empfänger des Datenstroms war. 
Ich also den McAfee auf paranoide Sicherheitseinstellung gesetzt und gleich noch die Comodo Firewall dazu installiert.

Seither kam "mein" Hacker bereits 6 Mal zurück und versuchte (erfolglos), sich auf den FTP einzuloggen.
Leider, leider: Meine Logdatei zeigt bei jedem Versuch bis zu 18 verschiedene IPs für diesen Drecksack, die in USA, Kanada, Frankreich, Schweden, Bulgarien, etc. beheimatet sind...

Ich habe also keine Chance ihn zu identifizieren. Oder doch? :gruebel:

Das ist jetzt meine große Frage:
Momentan kommt der $%§ nicht mehr rein und kann also auch nix mehr anstellen. Allerdings kommt er immer wieder zurück und versucht's, das letzte mal gestern abend. Und Ihr kennt ja Murphy's Gesetz: irgendwann schafft er's vielleicht doch. Und selbst wenn nicht, will ich ihm nicht die Chance lassen, irgendwann aus Rache, dass er nicht mehr reinkommt, eine DoS-Attacke vom Stapel zu lassen.

Ich lasse mittlerweile Peer Guardian auf meinem Server laufen, aber auch dessen Historie zeigt zum Zeitpunkt der Versuche leider nichts Auffälliges.

Könnt Ihr mir - außer "Sei wachsam und schütz dich" - irgendetwas raten, womit ich dieser Ratte ans Leder kann? Hier geht es im Falle des Falles um einen unter Umständen äußerst unangenehmen Datenklau, und eventuell sogar Firmenspionage!!

Danke für jeden Tipp!
Murphy


----------



## Heiko (3 Mai 2009)

*AW: Hartnäckiger Hacker - Chance ihn zu kriegen?*

Ich gehe nicht davon aus, dass er von seinem eigenen Rechner aus auf Deinen Server zugreift. Vermutlich nutzt er dafür infizierte Drohnen. Die Wahrscheinlichkeit ist sehr hoch, dass diese wiederum keine Logs erstellen.

Kurz: die Chancen, den Deppen zu erwischen, sind extrem klein.


----------



## MurphysLaw (4 Mai 2009)

*AW: Hartnäckiger Hacker - Chance ihn zu kriegen?*

Hallo Heiko,

das ist leider genau das, was ich auch befürchtet hatte.
Ich hatte gehofft, dass jemand eine Methode kennt, die Spur anhand des Timecodes zurückzuverfolgen.


Ich hasse halt den Ausdruck "geht nicht"...


Grüßle,
Murphy


----------



## Heiko (5 Mai 2009)

*AW: Hartnäckiger Hacker - Chance ihn zu kriegen?*

"Geht nicht" wäre auch schlicht falsch.

"Geht nicht mit vertretbarem Aufwand" oder "da reichen Deine Zugriffsmöglichkeiten nicht aus" stimmt eher.


----------



## MurphysLaw (5 Mai 2009)

*AW: Hartnäckiger Hacker - Chance ihn zu kriegen?*



Heiko schrieb:


> "Geht nicht" wäre auch schlicht falsch.
> 
> "Geht nicht mit vertretbarem Aufwand" oder "da reichen Deine Zugriffsmöglichkeiten nicht aus" stimmt eher.


OK, klingt schon interessanter. :sun:

Damit Du weißt, warum ich da so hartnäckig nachharke:
Es verdichten sich immer mehr die Hinweise dahingehend, dass es sich hier möglicherweise um eine gezielte Spionageattacke eines Konkurrenten handelt und nicht einfach nur um den "üblichen" Hackernerv...

Was meine Zugriffsmöglichkeiten betrifft, an denen kann ich ja nichts ändern.
Beim Aufwand sieht es da schon anders aus. Ich bin nämlich einigermaßen fit in einigen Programmiertechniken bezüglich Automatisierung von Arbeitsschritten. Damit lässt sich so mancher Aufwand auf ein vertretbares Maß, nämlich auf die Programmierzeit, reduzieren.

Auf die Gefahr dass ich nerve oder nach "schwer von Begriff" klinge:
Gäbe es denn theoretisch eine Möglichkeit?
Ein "Eingrenzen" wäre ja schon etwas, muss nicht gleich eine eindeutige Identifizierung sein.


Danke!


----------



## Heiko (6 Mai 2009)

*AW: Hartnäckiger Hacker - Chance ihn zu kriegen?*

Die gibt es, aber nicht für Dich.


----------

