Vorgestern erhielt ich eine Mail von meinem Webhoster. Mein gemieteter Root-Server, auf dem unter anderem dieses Blog läuft, sei vermutlich kompromittiert worden, ließ ein Servicemitarbeiter mich wissen.
Die Vermutung wurde schnell zur Gewissheit: auf meinem Linuxsystem war ein verdeckt arbeitender IRC-Server installiert worden. Über den sollten wohl Bot-Netze gesteuert werden, wenn sie massenweise Spammails absetzen oder sonstige Angriffe fahren.
So wie es bisher aussieht, muss ich davon ausgehen, dass die Schadsoftware über die Wordpress-Software für dieses Blog auf den Server kam. Im access.log von mein-digitaler-alltag.de fand ich einen wenige Tage zurück liegenden Angriff auf die Adminseite. Kurz darauf wurde der IRC-Server auf meinem System installiert. Ich möchte keine Vorurteile gegen südosteuropäische Völker nähren, aber die sichergestellten Spuren führen eindeutig nach Bulgarien.
Horrorgeschichten über das Treiben bulgarischer Hacker habe ich schon gelegentlich gehört. Ich war mir aber ziemlich sicher, dass ich diese dunklen Seiten der Informationstechnik nie würde kennenlernen müssen. Nach der Lektüre einschlägiger Foren in den letzten beiden Tagen weiss ich: Das war ein Irrglaube den ich mit vielen Betroffenen geteilt habe.
Nach ersten Reparaturmaßnahmen, wie dem Ändern von Passwörtern und einem Wordpress-Update, werde ich aus Sicherheitsgründen wohl nicht um eine Neuinstallation meines Servers herumkommen. Das werden lange Nächte, bis alles Wichtige gesichert und wieder aufgespielt ist, bis meine Mails wieder ankommen wie gewünscht und auch sonst alles wieder läuft wie gewohnt. Wenn mein-digitaler-alltag.de also nicht erreichbar sein sollte in den nächsten Tagen, wissen Sie an was es liegt. Schönen Abend noch und viele Grüße nach Bulgarien…