[betrieb-aktuell] Abkündigung Störung Internet-Router und Folgeprobleme

Sebastian Hagedorn Hagedorn at uni-koeln.de
Die Sep 16 09:14:24 CEST 2003


Sehr geehrte Damen und Herren,

die gestrigen Probleme sollten seit ca 19 Uhr gestern abend behoben sein.

Sie können an dieser Stelle aufhören zu lesen. Das Folgende ist nur für 
diejenigen bestimmt, die an Details interessiert sind.

Der Reihe nach: die hohe CPU-Last auf dem border-gw, der Schnittstelle vom 
UKLAN zum Internet, wurde dadurch ausgelöst, dass nach unseren Schätzungen 
bis zu hunderte von PCs in der Uni Köln von Crackern dazu missbraucht 
wurden, einen einzigen Server in Norwegen (irc.daxnet.no) einer 
DDoS(=Distributed Denial of Service)-Attacke auszusetzen. Die PCs waren 
offenkundig in der Vergangenheit über sog. Backdoors kompromittiert worden. 
Gestern wurden alle gleichzeitig dazu verwendet, eine Vielzahl von Paketen 
an die genannte Serveradresse zu schicken.

Die IP-Absenderadressen waren dabei gefälscht; jedes Paket hatte zudem 
einen anderen Zielport (bei identischer Zieladresse). Dadurch wurde die CPU 
des border-gws in ungewöhnlichem Maße beansprucht. Die faktische Wirkung 
war zunächst, dass die IP-Konnektivität quasi zum Erliegen kam.

Eine Nachbearbeitung durch uns steht noch aus, aber es ist damit zu 
rechnen, dass die gecrackten Rechner weiterhin fremdgesteuert werden 
können. Aus diesem Grund kann ich nur zum wiederholten Mal an alle 
Verantwortlichen appellieren, ihrer Sorgfaltspflicht nachzukommen und ihre 
Systeme regelmäßig upzudaten und auf Viren, Würmer und Trojaner zu 
untersuchen. Alle Systeme, die von uns als gecrackt oder infiziert 
identifiziert werden, werden umgehend gesperrt!

Nachdem die Ursache der Netzprobleme entdeckt war, konnte das border-gw 
selbst recht schnell entlastet werden. Es erforderte dann aber einige 
detektivische Arbeit um die eigentlichen Quellen in den Institutsnetzen 
ausfindig zu machen und dort für Abhilfe zu sorgen.

Nachdem diese Sache erledigt war, ist noch der Mailserver mail1 
zusammengebrochen. Aufgrund der vorangegangenen Netzprobleme hatten sich 
über 1.000 Mails an eine einzige Adresse gestaut, was in letzter Konsequenz 
einen Neustart des Mailservers unumgänglich machte.

In den nächsten Tagen kommt noch viel Arbeit auf uns zu, denn wir können 
diese Angelegenheit m.E. nicht auf sich beruhen lassen. Wir werden 
vermutlich sog. "proaktive Maßnahmen" ergreifen, um bestehende 
Sicherheitslücken zu erkennen, bevor sie ausgenutzt worden sind. Über 
solche Maßnahmen werden wir zu geeigneter Zeit detailliert informieren.

Die gestern enstandenen Unannehmlichkeiten bitte ich hiermit zu 
entschuldigen.

Mit freundlichen Grüßen, Sebastian Hagedorn
--
Sebastian Hagedorn M.A. - RZKR-R1 (Gebäude 52), Zimmer 18
Zentrum für angewandte Informatik - Universitätsweiter Service RRZK
Universität zu Köln / Cologne University - Tel. +49-221-478-5587