Wie man einen Hacker-Angriff entdeckt

Die meisten Sicherheitslücken in Computern können auf verschiedenste Arten ausgenutzt werden. Hacker-Angriffe können einen ganz bestimmten Exploit verwenden, aber auch mehrere Exploits gleichzeitig, eine Fehlkonfiguration bei einer der Systemkomponenten oder sogar eine Backdoor von einem früheren Angriff.

Dadurch ist es – vor allem für unerfahrene Anwender – recht schwer, einen Hacker-Angriff zu entdecken. Darum hier einige Grundregeln, wie man herausfinden kann, ob ein Computer angegriffen wird oder ob das Sicherheitssystem kompromittiert worden ist. Denken Sie daran, dass es wie auch bei Viren keine hundertprozentige Garantie gibt, dass Sie auf diese Art einen Hacker entdecken. Aber wenn Ihr System wirklich gehackt wurde, kann es sehr gut sein, dass eine oder mehrere der folgenden Verhaltensweise auftreten:

Windows-Computer:

  • Verdächtig hoher, ausgehender Netzwerkverkehr. Wenn Sie einen ungewöhnlich hohen, ausgehenden Datenverkehr registrieren (vor allem, wenn der Computer nichts macht oder es nicht notwendig ist, Daten hochzuladen), kann es sein, dass Ihr Computer kompromittiert wurde. Er könnte missbraucht werden, entweder Spam-Mails zu versenden oder ein Netzwerkwurm kopiert sich selbst und verschickt diese Kopien von Ihrem Computer aus. Bei Kabelverbindungen ist das weniger relevant, denn hier ist es ganz normal, dass der ausgehende Datenverkehr genau so hoch ist, wie der eingehende, selbst wenn man nichts macht außer Webseiten zu lesen oder etwas aus dem Internet herunterzuladen.
  • Erhöhte Laufwerksaktivität oder verdächtige Dateien in den Root-Verzeichnissen von Laufwerken. Wenn ein Computer gehackt wurde, scannen viele Hacker das System nach interessanten Dokumenten, nach Dateien, die Passwörter enthalten könnten, oder nach Login-Daten für das Online-Banking. Genau so durchsuchen manche Würmer die Laufwerke nach Dateien, die E-Mail-Adressen enthalten, um sich selbst verbreiten zu können. Sollten Sie erhöhte Laufwerksaktivität feststellen, wenn das System eigentlich gar nichts macht, und gleichzeitig auch verdächtige Dateien in allgemeinen Ordnern finden, kann das auf einen Hacker-Angriff oder eine Infizierung hindeuten.
  • Große Zahl von Datenpaketen, die von einer einzigen Adresse kommen und von der Firewall blockiert werden. Sobald ein Ziel lokalisiert wurde (zum Beispiel die IP-Adressen eines Unternehmens oder von Heimanwendern), lassen Hacker normalerweise Untersuchungs-Tools laufen, um herauszufinden, welche Exploits sie für den Einbruch in das System nutzen können. Wenn Sie bei Ihrer Firewall eine ungewöhnlich hohe Zahl blockierter Datenpakete feststellen, die alle von der gleichen Adresse kommen, ist das ein Zeichen dafür, dass Ihr Computer angegriffen wird. Die gute Nachricht ist, dass Ihre Firewall den Angriff festgestellt hat und Sie wahrscheinlich davor geschützt sind. Allerdings kann es vorkommen, dass die Firewall Sie nicht davor schützen kann, abhängig davon, wie viele Programme oder Dienste Sie mit dem Internet nutzen, und ob die Angreifer einen spezifischen FTP-Service, auf den alle zugreifen können, auf Ihrem Computer attackieren. In diesem Fall reicht es, die angreifende IP temporär zu blockieren, um die Angriffe zu stoppen. Viele Firewalls und Intrusion-Detection-Systeme haben dafür entsprechende Funktionen.
  • Ihr Antivirus-Programm meldet plötzlich, dass Backdoors oder Trojaner gefunden wurden, auch wenn Sie nichts Ungewöhnliches gemacht haben. Auch wenn Hacker-Angriffe komplex und erfinderisch sein können, nutzen doch viele davon bekannte Trojaner oder Backdoors, um vollen Zugriff auf einen angegriffenen Computer zu bekommen. Wenn also Ihr Antivirus-Programm solche Schadprogramme meldet, kann das darauf hinweisen, dass von außen auf Ihren Computer zugegriffen wird.

Unix-Computer:

  • Verdächtig benannte Dateien im /tmp-Ordner. Viele Exploits der Unix-Welt nutzen temporär erstellte Dateien im /tmp-Ordner, die nach einem Hacker-Angriff nicht immer gelöscht werden. Das gilt auch für manche Würmer, die Unix-Systeme infizieren: Sie rekompilieren sich selbst im /tmp-Ordner und nutzen diesen als „home“.
  • Modifizierte System-Binaries wie „login“, „telnet“, „ftp“, „finger“ oder komplexere Daemons wie „sshd“, „ftpd“ und ähnliche. Nach einem Einbruch in ein System versuchen Hacker normalerweise, den Zugriff über das Setzen einer Backdoor in einem der Daemons mit direktem Zugriff aus dem Internet zu sichern, oder indem sie Standard-Utilities, die für die Verbindung mit anderen Systemen verwendet werden, modifizieren. Die modifizierten Binaries sind dann meist Teil eines Rootkits und generell vor dem schnellen Entdecken geschützt. In allen Fällen sollte eine Datenbank mit Prüfsummen für alle System-Utilities verwendet werden, so dass diese regelmäßig im Single-User-Modus und dem vom Internet getrennten System geprüft werden können.
  • Modifizierte /etc/passwd- und /etc/shadow-Dateien oder andere Systemdateien im /etc-Ordner. Manchmal fügen Hacker bei einem Angriff neue Nutzer unter /etc/passwd hinzu, über die sie sich dann später aus der Ferne einloggen können. Suchen Sie nach verdächtigen Nutzernamen in der Passwortdatei und überwachen Sie alle neu hinzugefügten, vor allem auf Systemen mit mehreren Nutzern.
  • Verdächtige Dienste, die zu /etc/services hinzugefügt wurden. Das Öffnen einer Backdoor auf einem Unix-System ist oft schon durch das Hinzufügen von zwei Textzeilen getan. Dabei werden die Dateien /etc/services und /etc/ined.conf verändert. Überwachen Sie diese beiden Dateien genau – hinzugefügte Zeilen können eine Backdoor entlarven, die an einen ungenutzten oder verdächten Port gebunden ist.