Schreck am Abend
Das war heute in meiner Mailbox:
Trojaner im Server-Netz des Universitätsrechenzentrums
In der vergangenen Nacht von ca. 0 bis 7 Uhr hat ein Trojaner auf einem gehackten Windows-Rechner im Server-Netz des Universitätsrechenzentrums sein Unwesen getrieben. Er hat sich dem Router gegenüber als der Server zu allen IP-Adressen im Subnetz ausgegeben, die in Wirklichkeit nicht für ihn bestimmten Nachrichten entgegen genommen und dann erst an die eigentlichen Server weitergegeben. (Vermutlich eine Art man-in-the-middle-attack). Die Verbindungen zu den echten IP-Adressen scheiterten erst, als der gehackte Rechner gegen 7.00 Uhr seine Arbeit eingestellt hat.
Wir wissen (noch) nicht, was der Rechner sonst mit den Daten angestellt hat. Es ist aber möglich, dass Passwörter aus unverschlüsselten Verbindungen (beim Mail-Abruf über POP3 und IMAP oder bei einem nicht-anonymen FTP-Login) ausgespäht und weitergegeben wurden.
Nach den Aufzeichnungen der Verbindungen unseres POP3-/IMAP-Servers war Ihre Benutzerkennung XXXXX betroffen.
Wir raten Ihnen deshalb, Ihr Passwort zur Benutzerkennung
XXXXXX
unverzüglich zu ändern. Unsere Seite zum Ändern des Passwortes finden Sie unter https://mail.rz.uni-duesseldorf.de/user/ .
Mit freundlichen Grüßen -
für das Server-Team des Universitätsrechenzentrums [...]
Zwei Fragen, die sich mir in solchen Situationen aufdrängen:
1. Warum ist der Router so konfiguriert, dass er auf den ARP-Request eines dahergelaufenen Windows-Rechners reagiert?
2. Warum bietet die Uni nicht endlich POP3/SMTP und IMAP über eine sichere TLS/SSL-Verbindung an?
Allerdings muss man die Architekten von Windows an dieser Stelle loben: "Die Verbindungen zu den echten IP-Adressen scheiterten erst, als der gehackte Rechner gegen 7.00 Uhr seine Arbeit eingestellt hat."
Die Instabilität eines Windows-Rechners ist offenbar die beste Absicherung, wenn dieser ein Trojanisches Pferd ausführt.
Trojaner im Server-Netz des Universitätsrechenzentrums
In der vergangenen Nacht von ca. 0 bis 7 Uhr hat ein Trojaner auf einem gehackten Windows-Rechner im Server-Netz des Universitätsrechenzentrums sein Unwesen getrieben. Er hat sich dem Router gegenüber als der Server zu allen IP-Adressen im Subnetz ausgegeben, die in Wirklichkeit nicht für ihn bestimmten Nachrichten entgegen genommen und dann erst an die eigentlichen Server weitergegeben. (Vermutlich eine Art man-in-the-middle-attack). Die Verbindungen zu den echten IP-Adressen scheiterten erst, als der gehackte Rechner gegen 7.00 Uhr seine Arbeit eingestellt hat.
Wir wissen (noch) nicht, was der Rechner sonst mit den Daten angestellt hat. Es ist aber möglich, dass Passwörter aus unverschlüsselten Verbindungen (beim Mail-Abruf über POP3 und IMAP oder bei einem nicht-anonymen FTP-Login) ausgespäht und weitergegeben wurden.
Nach den Aufzeichnungen der Verbindungen unseres POP3-/IMAP-Servers war Ihre Benutzerkennung XXXXX betroffen.
Wir raten Ihnen deshalb, Ihr Passwort zur Benutzerkennung
XXXXXX
unverzüglich zu ändern. Unsere Seite zum Ändern des Passwortes finden Sie unter https://mail.rz.uni-duesseldorf.de/user/ .
Mit freundlichen Grüßen -
für das Server-Team des Universitätsrechenzentrums [...]
Zwei Fragen, die sich mir in solchen Situationen aufdrängen:
1. Warum ist der Router so konfiguriert, dass er auf den ARP-Request eines dahergelaufenen Windows-Rechners reagiert?
2. Warum bietet die Uni nicht endlich POP3/SMTP und IMAP über eine sichere TLS/SSL-Verbindung an?
Allerdings muss man die Architekten von Windows an dieser Stelle loben: "Die Verbindungen zu den echten IP-Adressen scheiterten erst, als der gehackte Rechner gegen 7.00 Uhr seine Arbeit eingestellt hat."
Die Instabilität eines Windows-Rechners ist offenbar die beste Absicherung, wenn dieser ein Trojanisches Pferd ausführt.
Hackmeck - 24. Nov, 17:43
0 Kommentare - Kommentar verfassen - 0 Trackbacks
