Wurden Sie gehackt? Wie sich kompromittierte Systeme erkennen lassen
Ist mein System gehackt worden? Wir erklären die wichtigsten Anzeichnen und Tools, mit denen man feststellen kann, ob ein Angriff stattgefunden hat.
Das Worst-Case-Szenario: Ihr Bauchgefühl sagt Ihnen, dass Sie gehackt wurden. Aber Sie sind sich nicht so richtig sicher, was nun zu tun ist. Wenn Sie zu den normalen IT-Leuten gehören, dann wissen Sie nicht unbedingt sofort, wo Sie genau hinschauen müssen um Beweise zu finden. Wie können Sie also zweifelsfrei feststellen, ob Sie tatsächlich Opfer eines Hacker-Angriffs geworden sind? Lassen Sie uns einen Blick auf ein paar der verbreiteten Anzeichen werfen, die Sie nach einem Einbruch in Ihr System vorfinden werden.
Zunächst sollten verdächtig aussehende Benutzer-Konten deaktiviert werden. Das sind solche, denen Merkmale oder Konventionen fehlen, die bei den meisten gültigen Konten vorhanden sind. Anschließend sollten Sie herausfinden, wer das Konto eingerichtet hat und warum. Überwachungsprotokolle zeigen an, wer solche Konten erstellt hat, sofern eine entsprechende Kontrollfunktion eingerichtet wurde. Ist es möglich, das Datum und die Uhrzeit des Anlegens zu ermitteln? Erweist sich das Konto tatsächlich als Ergebnis eines Hacks? Dann ermitteln Sie mit diesen Informationen einen Zeitraum, in dessen Rahmen sie nach anderen Log-Informationen zu einem Angriff suchen können.
Um herauszufinden, ob eine Schad-Software auf eingehenden Verbindungen lauscht, die als Hintertür für einen Hacker dienen könnten, verwenden Sie am besten spezielle Tools. Beispiele dafür sind TCPView von Microsoft Windows Sysinternals oder Fpipe der Foundstone-Sparte von McAfee. Diese Windows-Utilitys zeigen an, welche Anwendungen etwaige offene Ports auf Ihrem System nutzen. Auf einem Unix-System verwenden Sie netstat oder lsof, die bereits im Betriebssystem integriert sind. Es ist dabei durchaus möglich, dass ein cleverer Hacker die Programme netstat und lsof durch Trojaner ersetzt hat (welche die Ports nicht anzeigen, die von den Hackern geöffnet wurden). Deshalb scannen Sie das kompromittierte System am besten von einem anderen Rechner aus. Verwenden Sie dazu den kostenlosen Port-Scanner Nmap. Dieser wird Ihnen zwei verschiedene Sichten der offenen System-Ports anbieten.
Ein Hacker, der einen Windows-Server angreift, kann Programme in den folgenden Bereichen der Registry hinzugefügt oder ersetzt haben:
- HKLM > Software > Microsoft > Windows > CurrentVersion> Run
- HKCU > Software > Microsoft > Windows > CurrentVersion> Run
Ebenso kann die Schadsoftware über den Job-Scheduler des Betriebssystems aufgerufen werden. Um zu sehen, welche Jobs zur Ausführung auf einem Windows-System eingeplant wurden, öffnen Sie eine Eingabe-Aufforderung und geben Sie AT ein. Auf einem Unix-System verwenden Sie die Anweisungen cron oder crontab, um eine Liste der zur Ausführung eingeplanten Jobs anzuzeigen.
Hacker, die ein Unix-System angegriffen haben, können unter Umständen auch ein Rootkit verwenden. Dieses gibt dem Hacker Zugriff auf die Root-Ebene, indem er Schwachstellen im Betriebssystem oder in installierten Programmen ausnutzt. Da Hackern eine Vielzahl von Rootkits zur Verfügung steht, kann es sich als schwierig erweisen festzustellen, welche Dateien geändert wurden. Es gibt jedoch Programme, die Sie bei dieser Aufgabe unterstützen können (z.B. chrootkit). Zwar gibt es viele verschiedene Methoden, wie Hacker ihre Spuren verwischen können. Aber die Suche nach den oben aufgeführten Punkten ist ein guter Einstieg auf den Weg zur Sicherheit darüber, ob Sie gehackt wurden oder nicht.
Über den Autor
Vernon Haberstetzer ist Präsident des Seminar- und Beratungsanbieters i.e.security und verfügt über sieben Jahre tiefschürfende Security-Erfahrung in den Bereichen von Gesundheitswesen und Einzelhandel.