Man kommt morgends zur Arbeit, checkt die Server, und was ist das erste was man sieht? Ein komischer Host, v30**6.1blu.de hält über 50 Connections im TIME_WAIT auf unserem Server offen. Böser Host… Und im Log finden sich Zeilen im folgengen Look.
(...)
Jun 12 09:27:21 ldap2 sshd[17879]: Invalid user webamin from 88.84.145.***
Jun 12 09:27:27 ldap2 sshd[17893]: Invalid user admin from 88.84.145.***
Jun 12 09:27:30 ldap2 sshd[17897]: Invalid user dianej from 88.84.145.***
Jun 12 09:27:31 ldap2 sshd[17899]: Invalid user poseid from 88.84.145.***
Jun 12 09:27:32 ldap2 sshd[17901]: Invalid user usmc from 88.84.145.***
Jun 12 09:27:33 ldap2 sshd[17903]: Invalid user lisa from 88.84.145.***
Jun 12 09:27:35 ldap2 sshd[17905]: Invalid user lml from 88.84.145.***
Jun 12 09:27:38 ldap2 sshd[17911]: Invalid user skodien from 88.84.145.***
Jun 12 09:28:36 ldap2 sshd[18020]: Invalid user nagios from 88.84.145.***
(...)
Das tägliche Übel… Jeder Admin kennt das. Wenn ich jedes mal 5 Euro kriegen würde, wenn so eine BruteForce Attacke an unseren Server vorbeirrauscht, dann wär ich schon in der Karibik. Gucken wir uns aber diesen Vorfall mal genauer an. Man werfe den Hostnamen des Servers in die Adresszeile des Webbrowsers und komme zu folgender Webseite:
Da wurde wohl wem der Server gehackt. 
Naja. Kann jedem mal passieren. Wenn man sich auf der Webseite umschaut, findet man aber viel interessanteres Zeug… Es gibt Sonderzeitungen dieser Vereinigung, die mich persöhnlich vom Layout auf den ersten Blick an die Bild-Zeitung erinnern.
Ich werd dem Hoster kommunizieren, was einer ihrer Kunden im Internet rumschmiert. Ich denke sie werden die Maschiene dann vom Netz nehmen… Und jetzt gehts erstmal Frühstücken!
