[TYPO3-german] Was kann ich tun nachdem eine Webeite gehackt wurde / Beweissicherung / rechtliche Schritte / Ansprechpartner

[support at stonki.de]

Hallo,

> ?? Wie sollte man nun am besten vorgehen, bzw. wie und woran kann man am
> besten erkennen wer sich hier nun access verschafft hat?

wenn Du wirklich verwertbare Informationen haben willst, dann musst Du a)
zunächst einmal Dein System komplett (!) sichern. Eigentlich musst Du das
im laufenen Betrieb machen (Snapshot inkl. RAM), das ist aber
wahrscheinlich meist ein zu großer Aufwand - besonders wenn die Kiste im
Rechenzentrum steht. Also die kleine Lösung: Rechner runterfahren, von
einem Rettungssystem booten das nur lesenende Zugriff auf die Platte hat
und alles einmal komplett sichern. Es kann ja sein, daß durch einen hack
ausführbare Programme installiert wurden.

Dann System neu aufsetzen.

Der Snapshot (bzw. Sicherung) kann nun analysiert werden. Neben den
gängigen Logs (Apache, /var/log/messages) sollte man tools wie rkhunter
oder virenscanner durchlaufen lassen. Im besonderen tmp verzeichnisse
analysieren. Das ist relativ viel manueller Aufwand.

> -- Findet der Zugriff der Hacker auf einen Server im Ausland statt kann
> man
> sich ja ggf. gluecklich schaetzen an Daten aus deren
> "Vorratsdatenspeicherung" ranzukommen. Doch wie sieht das in Deutschland
> aus?

An die Daten aus der Vorratsdatenspeicherung wirst Du nicht rankommen. Bei
IP Adressen im Inland kann man sicherlich Strafanzeige stellen (wie die
Content Industrie), im Ausland ist es unmöglich.

> ?? Wie laesst sich nun der Weg der IP zurueckverfolgen und wer ist der
> entsprechende Ansprech Partner?

Einen Ansprechpartner erhälst Du durch eine whois Abfrage auf die IP.
Neben gängigen Linux Tools auch z.B. durch www.dnstools.com. Dort ist im
Regelfall ein Abuse Ansprechpartner genannt.

> ?? Welche Erfahrungen habt ihr gemacht, wenn ihr nun diese Provider
> kontaktiert um an die entsprechenden Nutzerdaten heranzukommen. Das geht
> in
> einigen Staaten sicher recht einfach per Telefon und in anderen womoeglich
> nur ueber die Staatsanwaltschaft oder aehnliche Institutionen?

wirst Du nicht bekommen. Im Regelfall passiert garnichts.

Du kannst Dir ja noch nicht einmal sicher sein, daß der jenige von dessen
IP der Angriff getan wurde, wirklich der "Hacker" ist. Bei > 1 Mio offenen
Windows Boxen ist sehr wahrscheinlich, daß "Hacker" erst eine Box kapern
und von dort Angriffe fahren. Jeder der das mit seiner eigenen IP macht
ist entweder a) Anfänger oder b) total bescheuert - beide Fälle eher
unwahrscheinlich, Also kannst Du bei geglückten Hackerangriffen davon
ausgehen, daß die Quell IP irgendwo in Russland oder Asien liegt
(gecrackter/geklauter Shell Account) auf die via Anonymisierungsdienste
zugegriffen wird.

Stonki