[betrieb-aktuell] Abkündigung Störung Internet-Router und Folgeprobleme
Sebastian Hagedorn
Hagedorn at uni-koeln.de
Die Sep 16 09:14:24 CEST 2003
Sehr geehrte Damen und Herren,
die gestrigen Probleme sollten seit ca 19 Uhr gestern abend behoben sein.
Sie können an dieser Stelle aufhören zu lesen. Das Folgende ist nur für
diejenigen bestimmt, die an Details interessiert sind.
Der Reihe nach: die hohe CPU-Last auf dem border-gw, der Schnittstelle vom
UKLAN zum Internet, wurde dadurch ausgelöst, dass nach unseren Schätzungen
bis zu hunderte von PCs in der Uni Köln von Crackern dazu missbraucht
wurden, einen einzigen Server in Norwegen (irc.daxnet.no) einer
DDoS(=Distributed Denial of Service)-Attacke auszusetzen. Die PCs waren
offenkundig in der Vergangenheit über sog. Backdoors kompromittiert worden.
Gestern wurden alle gleichzeitig dazu verwendet, eine Vielzahl von Paketen
an die genannte Serveradresse zu schicken.
Die IP-Absenderadressen waren dabei gefälscht; jedes Paket hatte zudem
einen anderen Zielport (bei identischer Zieladresse). Dadurch wurde die CPU
des border-gws in ungewöhnlichem Maße beansprucht. Die faktische Wirkung
war zunächst, dass die IP-Konnektivität quasi zum Erliegen kam.
Eine Nachbearbeitung durch uns steht noch aus, aber es ist damit zu
rechnen, dass die gecrackten Rechner weiterhin fremdgesteuert werden
können. Aus diesem Grund kann ich nur zum wiederholten Mal an alle
Verantwortlichen appellieren, ihrer Sorgfaltspflicht nachzukommen und ihre
Systeme regelmäßig upzudaten und auf Viren, Würmer und Trojaner zu
untersuchen. Alle Systeme, die von uns als gecrackt oder infiziert
identifiziert werden, werden umgehend gesperrt!
Nachdem die Ursache der Netzprobleme entdeckt war, konnte das border-gw
selbst recht schnell entlastet werden. Es erforderte dann aber einige
detektivische Arbeit um die eigentlichen Quellen in den Institutsnetzen
ausfindig zu machen und dort für Abhilfe zu sorgen.
Nachdem diese Sache erledigt war, ist noch der Mailserver mail1
zusammengebrochen. Aufgrund der vorangegangenen Netzprobleme hatten sich
über 1.000 Mails an eine einzige Adresse gestaut, was in letzter Konsequenz
einen Neustart des Mailservers unumgänglich machte.
In den nächsten Tagen kommt noch viel Arbeit auf uns zu, denn wir können
diese Angelegenheit m.E. nicht auf sich beruhen lassen. Wir werden
vermutlich sog. "proaktive Maßnahmen" ergreifen, um bestehende
Sicherheitslücken zu erkennen, bevor sie ausgenutzt worden sind. Über
solche Maßnahmen werden wir zu geeigneter Zeit detailliert informieren.
Die gestern enstandenen Unannehmlichkeiten bitte ich hiermit zu
entschuldigen.
Mit freundlichen Grüßen, Sebastian Hagedorn
--
Sebastian Hagedorn M.A. - RZKR-R1 (Gebäude 52), Zimmer 18
Zentrum für angewandte Informatik - Universitätsweiter Service RRZK
Universität zu Köln / Cologne University - Tel. +49-221-478-5587