| | | Was tun bei einer Hacker-Attacke
Fragt sich nur, welcher Provider ?
In diesem Fall sagt uns das t-dialin.net in Verbindung mit dem DTAG.DE zwei Zeilen darüber, dass wohl eine T-Online-Verbindung bzw. das Netz der Deutschen Telekom AG genutzt wird.
(Kurze Anmerkung: Die verschiedenen Provider greifen oftmals auf das Netz der DTAG zurück, da sie keine eigenen Einwahlknoten bzw. Netze haben. Eine mir bekannte Ausnahme ist der Provider Klaus Datentechnik. Hingegen nutzt 1&1 das Netz der Deutschen Telekom.)
Gut. Aber woher weiß ich, an wen ich mich bei der Deutschen Telekom wenden kann ?
Da gibt es wiederum mehrere Möglichkeiten. Entweder ich benutze ein Programm wie z.B. NeoTrace, lasse darüber die IP Adresse zurückverfolgen und mir über die Whois-Funktion des Programms weitere Angaben zur Verbindung machen. In der Regel wird dabei auch der zuständige Ansprechpartner bei der Deutschen Telekom genannt.
Eine andere Möglichkeit wäre in diesem Fall die Verwendung von http://www.denic.de oder international http://whois.internic.net ..
Wir nehmen mal die Homepage von Denic. Dort bekommen wir einen Punkt "Whois" angeboten, den wir auch aufrufen. Anschließend geben wir in der entsprechenden Zeile "DTAG.DE" ein. Whois teilt uns daraufhin mit, wer hinter der Domain DTAG.DE steckt. Wenn wir uns nun noch die Personendaten anzeigen lassen, dann bekommen wir 3 für die Domain zuständige Personen inklusive der Email-Adressen aufgeführt.
Was mache ich jetzt ?
Da uns der genaue Ansprechpartner für solche Hackversuche natürlich immer noch nicht bekannt ist, werden wir uns einfach die erste der 3 Personen schnappen. Ein gewisser Herr Karl-Heinz Seum.
(Kurze Anmerkung: Aus Erfahrung weiß ich, dass Herr Seum auch tatsächlich für solche Fälle zuständig ist. Allerdings ist die richtige Email-Adresse zur Meldung solcher Vorfälle abuse@t-online.de, aber die ist uns zur Zeit ja noch nicht bekannt. Daher werden wir die Adresse von Herrn Seum direkt verwenden.)
Okay. Was muss ich schreiben bzw. mitschicken?
Wir öffnen die Logbücher in Lockdown und suchen uns unser Logbuch heraus. Wir öffnen das Log im Notepad und speichern die Datei anschließend als Text-Datei ab. Den Speicherort merken wir uns.
Jetzt setzen wir eine Mail mit folgendem Inhalt an Herr Seum auf:
Sehr geehrte Damen und Herren,
Am 08.11.1999 versuchte einer Ihrer Kunden meinen PC mittels Verwendung des SubSeven Trojaners zu manipulieren.
Der Hacker hat die IP Adresse 62.157.53.28 – p3E9D351C.dip.t-dialin.net verwendet. Das entsprechende Aufzeichnungsprotokoll habe ich als Textdatei dieser Email beigefügt.
Bitte unternehmen Sie die notwendigen Schritte, um einen weiteren Missbrauch zu unterbinden. Außerdem möchte ich Sie bitten, mir für zukünftige Vorfälle dieser Art die korrekte Email-Adresse bzw. den zuständigen Ansprechpartner in Ihrem Hause zu nennen.
Soweit es sich vermeiden lässt, würde ich gerne auf die Herausgabe meines Namens an den Hacker verzichten. Sofern der Hacker noch nicht auffällig geworden ist, dürfte eine einfache Abmahnung genügen. Im Wiederholungsfall erwarte ich allerdings weitreichendere Schritte von Ihnen.
Bitte leiten Sie dieses Schreiben gegebenenfalls an die zuständige Stelle weiter. Für eine kurze Rückmeldung wäre ich Ihnen dankbar.
Mit freundlichem Gruß
So. Jetzt noch die Log-Datei von vorhin als Anhang an die Email und ab die Post.
(Kurze Anmerkung: Je schneller man in einem solchen Fall reagiert, desto größer ist die Wahrscheinlichkeit, dass der Hacker erwischt wird. Nach meinen Informationen werden die Logbücher bei der Deutschen Telekom nämlich nur 3 Tage gespeichert.)
Was passiert dann ?
In der Regel meldet sich der für solche Fälle zuständige Mitarbeiter des Providers in den nächsten Tagen per Email bei euch und setzt euch über die Abmahnung des Hackers in Kenntnis. Bleibt zu hoffen, dass im Falle eines Wiederholungsversuches dem betreffenden Kunden gekündigt wird.
Die Email-Adresse vermerken wir uns für den nächsten Fall. Sollte innerhalb einer Woche keine Antwort eintreffen, dann würde ich mal in aller Höflichkeit bei der angeschriebenen Person nachfragen, was im Falle meiner Beschwerde unternommen wurde. Sofern wir die falsche Person angeschrieben haben, sollte man uns wenigstens die Adresse des richtigen Ansprechpartners nennen.
Warum dem Hacker nicht den Namen preisgeben? Nun ja, ich bin mir nicht sicher, ob das nicht ein übertriebenes Vorsichtsdenken ist. Aber ich persönlich würde mich sehr unwohl fühlen, wenn so jemand meinen Namen oder meine Email-Adresse kennen würde. Es gibt so viele kranke Gestalten im Netz und man weiß nie, auf was für Ideen die so kommen können...
Andererseits bin ich mir auch ziemlich sicher, dass solche "plumpen" Attacken in den meisten Fällen von harmlosen "Möchtegern-Hackern" gestartet werden. Da hat jemand SubSeven oder BO entdeckt und möchte nun einmal zeigen, was in ihm steckt. Meiner Meinung nach würde sich ein ernsthafter Hacker wohl nicht so ohne weiteres auf eine solche Art und Weise erwischen lassen. Allerdings ist das nur meine ganz persönliche Einschätzung.
Ergänzung
Natürlich kann man nicht immer davon ausgehen, dass die DTAG als Provider in Frage kommt. Erfahrungsgemäß werden aber ein Großteil aller Hackerattacken über diesen Provider geführt. Daher war ein Beispiel anhand der DTAG für mich die sinnvollste Wahl. Im Prinzip laufen die Schritte bei einem anderen Provider ganz ähnlich ab.
Sollte man nicht das Programm Lockdown einsetzen, dann bekommt man trotzdem in der Regel ein Protokoll zur Verfügung gestellt, dem man die IP Adresse des Hackers entnehmen kann. Leider habe ich in dieser Beziehung nur mit den Programmen Jammer und Back Officer Friendly Erfahrungen gemacht.
Dieser Text wurde von Andreas Ebert verfasst und zur Veröffentlichung auf https://www.trojaner-info.de freigegeben. Vielen Dank dafür !
Copyright by Andreas Ebert & trojaner-info.de
| | | |
