linux-l: Hackerangriff...?!

[Oliver Bandel]

Hallo, lieber Leute,

ich hab' Euch etwas zu berichten heute.

Es begab sich am Sonntag früh um ca. 4 Uhr 30.
Ich war den ganzen Abend schon - immer wieder mit Unterbrechungen - 
herumgewebbt. Diesmal war ich auf die Seiten gelangt, die man unter 
http://walther.in-berlin.de erreichen konnte.
Ich finde die sehr interessant, denn da gibt es endlich mal wieder etwas 
Hardware zu sehen, Schaltpläne, ja sogar Platinenlayouts. Gefreut habe ich mich 
wie ein Schneekönig.

Aber irgendwann wurde es mühseelig: Die Verbindung wurde immer langsamer. Von 
Anfangs satten 1.4 kB/s gings runter auf 800 B/s, auf einige Hundert B/s, ja bis
unter 100 B/s, ich kann mich noch an die Zahlen 86 und 83 erinnern, die dort 
abzulesen warehn.

Beinahe hätte ich die Verbindung abgebrochen, was ich auch lieber hätte tun 
sollen.
Jedenfalls, es war so ca. 4 h 38, als plötzlich die Platte anfing zu rödeln, ja 
regelrecht zu kotzen. Es war so grob, daß sich die Mouse nicht mehr richtig 
führen ließ.

Es war schon kaum mehr möglich, noch ein Terminal unter X aufzurufen und ein 
paar Befehle einzugeben.

Und dann war plötzlich wieder Ruhe. ... Und die Verbindung wieder schnell.

Ich hatte die Böse Vermutung, daß sich da wer unbefugt auf meinen Rechner 
eingeloggt hatte, während ich am herumsurfen war.


Ich konnte aber auch nicht ausschließen, daß bei mir irgend ein Script ablief, 
was den Rechner zum rödeln brachte, oder daß die Verbindung so lahm war, weil 
der bolzen am Rödeln war.
Was meine Scripts angeht, habe ich nichts gefunden, was da so einen Alarm 
gemacht haben könnte (Ich hatte die Scripts, die Nachts laufen, ja erst vor ein 
paar tagen auf die frühen Abendstunden umgestellt. Was den bolzen angeht, kann 
ich das zumindest nicht ausschließen, daß der sehr belastet war (fragt sich, 
wodurch).

Aber was nun machen? Wie feststellen, was da los war? Vielleicht hatte Linux 
auch nur den Cache des netscape mit einem Schwung auf die Platte gehauen?
(Macht der sowas im hauruck-Verfahren? So blöde kann doch kein Kernel sein.)

Naja; nichts Böses ahnend fragte ich den Urheber der Seiten, ob es denn nun 
möglich sei, daß er dort irgendwelche Krassen Daten-Mengen  oder was weiß ich 
auf der Platte hatte.
Nein, nichts großes, so ca. 50 kB.
Weitere Hilfe bekam ich angeboten.

Nur eines war seltsam dabei: Als ich die Mails von Johannes Walther mit "s" 
unter pine abspeichern wollte, wollte mir pine einen neuen, noch nicht 
vorhandenen Folder anlegen: "root" (!!!).

Und da ich die Einstellungen so gewählt hatte, daß der Absendername als 
Foldername ausgewählt werden sollte, war ich doch mindestens geschockt.

Und im Mailheader nachgeschaut stand da: "Sender:" und dann meine root-Adresse.
Wieso ist root der Sender der Mails, die ich von Johannes Walther bekomme?

Was würdet Ihr daraus ablesen?

Gibts dafür eine "friedliche" Erklärung?


Tschüß,
    Oliver

P.S.: Ich werde mir nochmal harklein die /var/log/messages anschauen.
      Dort fand ich bisher noch nichts wirklich eindeutiges.
      Da war aber etwas seltsames drin: eine su-Angabe, ohne Angabe von 
      Username und Port... hat das was zu sagen?


P.P.S.: Johannes habe ich direkt per Mail gefragt. er meinte, er habe
        genug mit dem eigenen rechner zu tun...
        Vermutlich werde ich nicht heraus bekommen, wer es war.
        ABER: Leute, seit gewarnt. Checkt nochmal Euer System durch...