Letzte Woche hatten wir ein paar Probleme mit einem vServer von einem Kunden. Es kamen am 09.5.2010 mehrere eMails an unsere absuse eMail-Adresse, das von unserem Netz aus gescannt wird. Oder wie die Amerikaner sich Ausdrücken “Hacking attempt, Cracking Server”. Warum die das immer so Übertreiben verstehe ich nicht, aber dazu mehr….Die IP von dem vServer wurde uns Dankenswerterweise inkl. einem Protokoll von unterschiedlichen Personen mitgeschickt. Daraufhin haben wir erstmal den vServer kontrolliert ob dies wirklich Stimmt. Ja, es gab einen erhöhten Traffic, der immer noch Anstand. Also erstmal den vServer gesperrt.[ad 1330627805107]
Als ich mir die eMails dann so anguckte, was da so drin stand, traute ich meinen Augen nicht. “ssh-scan” ! Dies deutet daraufhin, das der vServer gehackt wurde und für SSH-Brute-Force Attacken verwendet wurde. Naja, nicht so schön.
Wir informierten den Kunden, das sein vServer gehackt wurde. Dieser teilte uns dann mit, das er dies Untersuchen würde. Nach einer gewissen Zeit, kam dann eine eMail zurück, das er nichts finden konnte und wir bitte einmal gucken könnten.
Ok, das taten wir. Wir fanden auch einiges. Ein Script, welches genutzt wurde um bestimmte IP-Adressbereiche zu scannen. Hmm… Aber die Frage, wie die Hacker reinkamen blieb ungeklärt.
Wir sprachen den Kunden nochmals drauf an, ob er Irgendetwas gemerkt hat oder sonstige Auffälligkeiten. Er teilte uns dann mit, das dies nicht so wäre, aber er sein Passwort verändert hätte. Da das Kind sowieso schon in den Brunnen gefallen ist, fragten wir nach seinem Passwort.
Und ?!? Ratet mal !!!! Passwort = P@ssw0rd ! Au man 
Das kann doch nicht sein. Jetzt war auch klar wie das passiert ist.
Die Nacht haben wir dann noch eine Rundmail an alle Kunden geschickt, mit der bitte, die Passwörter zu prüfen und gegebenenfalls zu Ändern in ein Sicheres.
