Frage: Wenn sich eine unbefugte Person auf einem Webserver einhackt, ist das sowas wie virtueller Hausfriedensbruch oder worunter fällt das?
Ich frage deswegen, da ein Kumpel von mir nach dem Aufstehen dumm aus der Wäsche geschaut hat, als er auf seinem Blog ausgetauschte Bilder gesehen hat und in einer Non-Blog-Datenbank Testeinträge gelöscht waren. Er hat das Logfile, das der Eindringling nicht gelöscht hatte, analysiert und anhand der Aktivitäten + Uhrzeiten konnte er mittlerweile die IP eingrenzen. Übergibt man das der Polizei? Zumal er einen Verdacht hat, der dem Fass den Boden ausschlagen würde, da er davon ausgeht, dass das sein eigener Hoster war (ist so eine Art Privatklitsche, nix vom Schlage eines Hosteurope und Konsorten).
Ja, es ist eine Straftat und sollte der Polizei gemeldet werden. Bevor du das machst: schau dir Die Logdateien an, schau an woher der Angreifer gekommen ist, was er für einen Schaden angerichtet hat. Danach wäge ab, ob sich der Aufwand lohnt
Bei mir hat auch schonmal ein „Scriptkiddie“ nen Server lahmgelegt. Er hat grundlegend nicht alzuviel Schaden angerichtet, allerdings war es mehr als nur ärgerlich und hat einige Stunden Arbeit gekostet.
Ich habe keine Anzeige erstattet, da der Angreifer irgendwo ausm Asiatischen Bereich gekommen ist und eine Anzeige somit eh im Sand verläuft.
Einfach kurz ärgern, dann Sicherheitslöcher stopfen und in Zukunft drauf achten das man Sicherheitsupdates unverzüglich einspielt. Backup fahren, etc pp.
Bei der Polizei würde er auf Unverständnis stoßen (mangels kognitiver Fähigkeiten), versuchen sollte er es zumindest. Logfile sichern und Anzeige wegen Verstoß gegen §202a und §303a StGB gegen Unbekannt einreichen. Achja, und Passwort ändern und schnellstmöglich zu einem seriöseren Provider wechseln (z.B. HE)…
Was wurde denn ausgetauscht/gelöscht?. Kann man schon von einem Defacement sprechen oder könnte das ganze auch ein Fehler des Hoster gewesen sein? Hoster sind ja auch nur Menschen und Fehler passieren leider mal öfter als man denkt.
Die IP-Adresse ist nicht wirklich aussagekräftig, zumindest gehe ich davon aus, das jemand, der ein System cracken (ich vermeide bewußt das Wort „hacking“!) will, auch seine IP-Adresse verschleiern kann.
Ich würde auf jeden Fall erst mal Rücksprache mit dem Hoster halten. Unsere Grün-Weissen Freunde werden sowieso erst aktiv, wenn wirklich Schaden angerichtet wurde. Eventuell weiss dieser mehr, zumal, wie du schreibst, ja auch eine IP-Adresse des Hosters involviert ist.
Sollte sich die Angelegenheit nicht wirklich zufriendestellend klären lassen, würde ich den Hoster wechseln bzw. mir Gedanken über die Sicherheit meiner Web Application machen. Passwörter wie Admin/Admin sind nun mal nicht sicher und auch bekannte Sicherheitslücken sollte man ASAP stopfen 🙂
Das Bundesamt für Sicherheit in der Informationstechnik hat einige Informationen zum Thema Internet-Sicherheit und Straftaten zusammengestellt.
. . . der eigene Hoster – ein Hacker?
Na Robert, wenn Du einen Root-Server ganz allein dein Eigen nennst, dann wäre das ein starkes Stück.
Hast Du aber nur einen virtuellen Server bei deinem Hoster, dann solltest Du dich ganz schnell vertrauensvoll an diesen wenden und fischen, welcher Gast da zusammen mit dir auf dem selben Server sitzt.
Da gibt es dann wieder zwei Möglichkeiten:
Entweder hat da der Server Datenmüll fabriziert oder aber Du hast einen Zimmernachbarn, der ein wenig verlaust ist.
In der Zwischenzeit kannst Du ja auch einmal im Netz mit Google auf den Fischfang gehen und nachschauen, ob die „neuen Bilder“ irgendwo auf einer Website zu finden sind . . . .
die betreffenden Dateien hast Du dir doch hoffentlich gleich herunter geladen. Oder? 😉
ok, danke 🙂 Leite den Link mit Kommentaren an die betroffene Person weiter.
@Kurt, ich weiss nicht, ob er sich die Files gesichert hat etcpp… wenn nicht, sollte er das auch mE auf jeden Fall tun!
Mein eigener Weblog wurde auch vor kurzem gehackt. Ich hab allerdings entschieden das nicht zu melden, die „script kiddies“ aus der türkei (vollkommen unverschlüsselte ip) hatten mit hilfe eines fertigen scripts und einem bug in einem php-script die config.php verändert und da ein tolles bild „hacked by …“ reingestellt.
zum glück haben sie meine datenbank in ruhe gelassen 🙂 bzw. haben sie nicht mal zugang auf den datenbank-server und ftp bekommen.
Ich kenne mich in Sachen Recht zwar nicht aus, aber ich würde nicht von virtuellem Hausfriedensbruch sprechen – auch wenn das Wort an sich schön ist 😉 – sondern eher wie bei Wurm- und Virenprogrammierern von Computersabotage und Datenveränderung. Die Auffindung des Übeltäters wird aber vermutlich schwer sein und in den seltensten Fällen lohnen, vergleicht man es mit der Verfolgung von eben erwähnten Programmieren, die ja erheblich mehr Computer sabotiert haben.
Ich würde aber genau auf die Umstände achten: Ein Defacement betrifft oft ja nur die Startseite oder wo auch immer man seine Parole unterbringen kann. Die aller wenige davon sind dabei professionell von einer Crackergruppe ausgeführt, wie es auf den ersten Blick ja dank der Botschaft immer den Anschein hat, sondern sind von so genannten Script Kiddies ausgeführt worden die sich dann für ganz groß halten. Der Name ist dabei Programm: Ein Script Kiddy verwendet Scripts (=Exploits) denen er ein paar Parameter übergibt und sich bei Erfolgsmeldung als „1337-Hacker“ hält. Dabei ist das Ziel egal und der angerichtete Schaden relativ gering: Es geht ja zumeist nur darum seinen Namen unter der Überschrift „Superhacker“ bei Google zu finden.
Bei deinem geschilderten Fall ist das ein wenig anders: Die Veränderung von einzelnen Daten sprich Bildern und das Löschen von Datensätzen ist nicht unbedingt der Stil eines normalen Scriptkiddies, da es für sowas zumeist keine Exploits gibt und das Investierte Zeit – „Erfolg“ Verhältnis zu gering ist. Das spricht eher für jemanden der sein Ziel ausgewählt hat – vor allem auch weil auch gleich 2 Ziele (Dateisystem & Datenbank) erreicht wurden. Und wer ein Ziel auswählt hat auch ein bestimmtes Ziel: bei veränderten Bildern würde ich auf eine Art Rufmord tippen (z. B. auf Homepage einer Kirche Bilder ersetzen mit … 😉 ). Das löschen der Testeinträge könnte ich allerdings nicht so recht deuten, da ich Testeinträge wirklich als Test verstehe und mir es vermutlich nicht mal auffallen täte wenn sie fehlen. Sollte es wirklich der Hoster gewesen sein, dann könnte man es als Versuch werten den Eindruck entstehen zu lassen die Daten wären hier nicht sicher… aber welcher Hoster will sowas nachgesagt bekommen? Egal wie klein er ist und wie groß die Probleme mit dem User?