Tilfældighed afslører hacket server

Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned i Børsen Informatik om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

En aktuel sag viser, hvordan kun en tilfældighed gjorde, at en organisation opdagede, at dens servere var blevet overtaget af hackere.

Systemadministratoren så en dag en mærkelig dialogboks på skærmen til en server. Serveren var kun til intern brug, men dialogboksen indeholdt en opfordring til at besøge et web-sted.

Det gjorde administratoren urolig. Han undersøgte maskinen nærmere og opdagede, at der kørte nogle programmer på den, som han ikke kendte. Så kontaktede han DK•CERT.

Vi fandt hurtigt ud af, at dialogboksen og de mystiske programmer ikke havde noget med hinanden at gøre. Dialogboksen var en reklame, der udnytter en funktion i Windows. Man kan lukke for den ved at installere en firewall, men noget egentligt sikkerhedsproblem er den ikke.

Fildelings-program
Til gengæld viste de ukendte programmer sig at være interessante. Der var nemlig tale om omdøbte versioner af et udbredt program til fildeling via FTP-protokollen. Nogen havde altså installeret et program på serveren, der gjorde det muligt at hente og gemme filer på den ude fra internettet.

Systemadministratoren prøvede at lukke hackerprogrammerne, men de blev hurtigt startet igen. Han blev nødt til at geninstallere serverens software.

Fem andre var ramt
Et usædvanligt træk ved hackerprogrammet var, at det lyttede på port 34. Det gav os mulighed for at undersøge, om andre var blevet hacket på samme måde. En analyse af trafikken på dele af det danske internet afslørede yderligere fem servere, der kommunikerede på port 34.

På en af de pågældende computere fandt systemadministratoren 84 gigabyte filer, der indeholdt film hovedsagelig med hollandske undertekster. Dermed er formålet med den uautoriserede FTP-server klart: Den har været brugt til udveksling af piratkopier. En efterfølgende analyse viste, at hovedparten af trafikken til serveren kom fra hollandske eller amerikanske net.

Typisk sag
Sagen er typisk derved, at kun en tilfældighed gjorde organisationen opmærksom på, at dens server var hacket. Det blev opdaget i slutningen af februar, og trafikken har mindst stået på siden starten af måneden.

For nylig viste en opgørelse fra Danmarks Statistik, at kun tre procent af virksomhederne med internetadgang havde oplevet problemer med uautoriseret adgang. Den viste også, at kun halvdelen af virksomhederne har en firewall. På den baggrund kan man spørge, om virksomhederne ikke har problemer med uautoriseret adgang - eller om de bare ikke opdager det?

Oprindelig bragt i Børsen Informatik den 11. marts 2003

Keywords: