Der Einbrecher
Da bricht einer irgendwo aus Kalifornien in meinen PC ein. Nicht zu Hause, sondern im Büro. Über SSH, aus dem Nichts heraus: Plötzlich ein “Accepted password from …” im Logfile. Nicht, dass der Fremdbot zuvor andere Passwörter für diesen Benützer getestet hätte, was ja gerne für Standardbenützer wie “admin”, “root” oder “test” gemacht wird.
Nein. Da sind etliche Login-Versager von anderen IP-Adressen davor und danach, alle mit Standardbenützern, und mittendrin plötzlich wird ein Login mit meinem Benutzernamen aus Kalifornien durchgeführt. War ich da etwa gestern um 18:14? Nicht, dass ich wüsste. Aber man weiss ja nie.
Es gibt keinen Rootkit, keine mysteriösen laufenden Programme, nichts. Der Angreifer ist jetzt ausgesperrt. Die Firewall noch etwas dichter gemauert. SSH verlangt jetzt bestimmte IP-Adressen und zeigt dem Rest der Welt den Stinkefinger.
Was tun? Was hat der Angreifer gemacht? Meine Dokumente kopiert? Meine gespeicherten Browser-Passwörter? Alles ändern? (Das Wichtigste wurde natürlich bereits …) Alles löschen? Feuer legen? Internetz verbrennen?