Die meisten Computerschwachstellen können auf unterschiedliche Weise ausgebeutet werden. Hacker können für ihre Angriffe einzelne spezielle Exploits, mehrere Exploits gleichzeitig, einen Konfigurationsfehler in einer Systemkomponente oder sogar ein Hintertürchen aus einer früheren Attacke nutzen.
Deshalb ist das Erkennen von Hacker-Attacken insbesondere für einen unerfahrenen Anwender keine leichte Aufgabe. Dieser Artikel enthält ein paar grundlegende Hinweise, wie man feststellt, ob ein Computer angegriffen wird oder ob die Sicherheit eines Systems geschädigt worden ist. Dabei ist zu bedenken, dass es genau wie bei Viren keine 100%ige Garantie gibt, dass man eine Hacker-Attacke so tatsächlich feststellt. Es ist jedoch gut möglich, dass Ihr System nach einem Angriff durch einen Hacker eine oder mehrere der folgenden Verhaltensweisen zeigt.
Windows-Geräte:
Verdächtig hoher abgehender Netztraffic. Wenn Sie in einem Einwählkonto sind oder ADSL verwenden und einen ungewöhnlich hohen abgehenden Datenverkehr bemerken (insbesondere wenn Ihr Computer gerade im Ruhezustand ist oder nicht gerade etwas verschickt), dann ist es möglich, dass Ihr Computer geschädigt worden ist. Es kann sein, dass Ihr Computer womöglich gerade zum Verschicken von Spam benutzt wird, oder von einem Netzwerkwurm, der sich gerade vervielfältigt und Kopien von sich verschickt. Für Kabelverbindungen ist das weniger relevant - es ist ziemlich üblich, dass es etwa die gleiche Menge abgehenden und ankommenden Datenverkehr gibt, selbst wenn Sie nichts anderes tun, als nur im Internet browsen oder Downloads machen.
Erhöhte Laufwerksaktivität oder verdächtig aussehende Dateien in den Hauptverzeichnissen von beliebigen Laufwerken. Wenn Hacker in ein System eingedrungen sind, führen viele von ihnen eine umfangreiche Suchabfrage nach interessanten Dokumenten oder Dateien durch, die Passwörter oder Logins für Bankkonten oder ePayment-Konten wie z.B. PayPal enthalten. Ebenso durchsuchen einige Würmer die Festplatte nach Dateien, die E-Mail-Adressen enthalten, um sie zur Weiterverbreitung zu benutzen. Wenn Ihnen im Zusammenhang mit verdächtigen Dateinamen in gemeinsamen Ordnern selbst im Ruhezustand des Systems eine beträchtliche Aktivität der Festplatte auffällt, so könnte das ein Zeichen für das Eindringen eines Hackers oder für eine Malware-Infektion sein.
Große Mengen an Datenpaketen, die von einer einzigen Adresse kommen und von einer persönlichen Firewall gestoppt werden. Wenn Hacker ein Ziel gefunden haben (z.B. den IP - Bereich einer Firma oder einen Pool von Kabelanwendern), lassen sie gewöhnlich automatische Suchprogramme ablaufen, die versuchen, mit den verschiedensten Exploits in das System einzubrechen. Wenn Sie eine persönliche Firewall einsetzen (ein Grundelement für den Schutz gegen Hacker-Attacken) und Ihnen auffällt, dass eine große Anzahl Datenpakete gestoppt wird, die von der selben Adresse kommen, dann ist das ein gutes Anzeichen dafür, dass Ihr Gerät gerade angegriffen wird. Die gute Nachricht dabei ist, dass Sie wahrscheinlich sicher sind, wenn Ihre persönliche Firewall diese Attacken meldet. Je nachdem, wie viele Dienste Sie zum Internet hin ungeschützt lassen, kann es jedoch sein, dass die persönliche Firewall Sie nicht gegen einen Angriff schützt, der direkt auf einen bestimmten FTP-Dienst gerichtet ist, der auf Ihrem System läuft und für alle zugänglich gemacht worden ist. In diesem Fall liegt die Lösung darin, den IP, von dem die Verletzung ausgeht, zeitweilig zu blockieren bis die Verbindungsversuche aufhören. Bei vielen persönlichen Firewalls und IDS-Systemen ist diese Möglichkeit eingebaut.
Ihr speicherresidentes Antivirus-System meldet plötzlich, dass backdoors oder Trojaner entdeckt worden sind, selbst wenn Sie gar nichts ungewöhnliches getan haben. Obwohl Hacker-Attacken komplex und innovativ sein können, benutzen viele bekannte Trojaner oder Hintertürchen, um vollen Zugriff auf ein geschädigtes System zu erlangen. Wenn der speicherresidente Teil Ihres Antivirus Schutzes solche Malware entdeckt und meldet, kann das ein Anzeichen dafür sein, dass man auf Ihr System von außen zugreifen kann.
Unix-Geräte:
Verdächtige Dateinamen im Ordner /tmp. Viele Exploits im Unix-Bereich erstellen temporäre Dateien im Standardordner /tmp, die nach dem Eindringen in das System nicht immer gelöscht werden. Das gleiche gilt für einige Würmer, von denen man weiß, dass sie Unix-Systeme infizieren; sie rekompilieren sich im Ordner /tmp und benutzen ihn als 'Ruheposition'.
Änderungen in den Binärzeichen des Systems, wie z.B. 'login', 'telnet', 'ftp', 'finger' oder noch komplexere Daemons, 'sshd', 'ftpd' und ähnliches. Ein Hacker versucht nach dem Einbruch in ein System gewöhnlich den Zugriff dadurch zu sichern, dass er ein Hintertürchen in einen der Daemons einschmuggelt, die direkten Zugriff vom Internet aus haben, oder normale Dienstprogramme des Systems modifiziert, die für die Verbindung zu anderen Systemen verwendet werden. Die modifizierten Binärzeichen gehören gewöhnlich zu einem Rootkit und sind im allgemeinen gegen eine direkte einfache Prüfung 'getarnt'. Auf alle Fälle lohnt es sich, eine Datenbank mit Prüfsummen für jedes Dienstprogramm des Systems zu führen und sie periodisch zu überprüfen, und zwar off-line im Einzelplatzmodus.
Änderungen in den Dateien /etc/passwd, /etc/shadow, oder anderen Systemdateien im Ordner /etc. Manchmal kann durch Hacker-Attacken ein neuer User in /etc/passwd angelegt werden, der dann später aus der Ferne eingeloggt werden kann. Achten Sie auf verdächtige Namen für User in der Passwort-Datei und überwachen Sie alles, was neu hinzugefügt wird, besonders in einem System mit mehreren Anwendern.
Verdächtige Dienstleistungen, die in /etc/services hinzugefügt worden sind. Das Öffnen einer Hintertür in einem Unix System ist manchmal nur eine Sache von zwei zusätzlichen Textzeilen. Das wird erreicht durch Abänderungen in /etc/services sowie in /etc/ined.conf. Überwachen Sie die beiden Dateien genau auf eventuelle zusätzliche Eintragungen, die ein Anzeichen für ein Hintertürchen sein können, das an einen unbenutzten oder verdächtigen Port gebunden ist.