Hacker zurückverfolgen

Der Fachbegriff für „Hacker zurückverfolgen“ ist „Forensik“. Das Thema Forensik ist ein heißes Thema. Die 99% der Angriffe kommen vom Ausland. Sobald der Angriff zurück verfolgt wird, stößt man auf einen gehackten Server, der wiederum ferngesteuert wird. Sobald der Hacker einen Auftrag bekommt, wie z.B. „besorge mir Informationen von der Konkurrenz“, sucht der Hacker einen Server, der leicht angreifbar ist, meistens eine Ein-Mann-Firma.

Angreifer zurückverfolgen

Der Sever hat meistens eine Schwäche in der SQL Kommunikation, es kommt zur SQL Injektion. Es kann auch sein, dass das Kontaktformular nicht gegen spitze Klammern geschützt ist. Manche ältere CMS Systeme können nicht upgedatet werden. Wenn das alles sicher ist, wird ein Blick auf die Ports geworfen. Bei welchem Port ist eine Firewall oder eine veraltete Version?

forensik stuttgart

Hat er einmal Zugriff auf den Server, dann geht es erst richtig los. Der Hacker sucht sich Informationen vom Hauptziel. Es kann davon ausgegangen werden, dass  eine Firma mit ein paar tausend Mitarbeiter, einen sicheren Server hat. Sobald genügend Informationen vorhanden sind, baut der Hacker den Server nach, dann werden mehrere Tests ausgeführt.

hacker zurückverfolgen

Das war nur ein bisschen Hintergrundwissen, wie was zustande kommt.

Die Log Datei von einem Apache Server ist so aufgebaut:

123.123.123.123 – – [05/Sep/2021:02:02:42 +0000] „GET / HTTP/1.1“ 200 3421 „-“ „Mozilla/5.0  ……

123.123.123.123 ß ist die IP Adresse vom Webseiten Besucher

 [05/Sep/2021:02:02:42 +0000] ß Datum mit Urzeit

GET / HTTP/1.1″ 200 3421 „-“ „Mozilla/5.0 ß

Alles weitere muss im Detail besprochen werden, ich helfe ihnen gerne.