Ihre DNS-Server sind nicht sicher

Das Fazit? Sollte Ihre IT-Abteilung Ihren BIND-Server nicht bereits komplett neu installiert haben (inklusive einer Neuformatierung und kompletten Neuinstallation des Betriebssystems und gepatchter Software), dann sind Ihre System nicht sicher.

Nachschauen, ob der Server noch läuft, reicht da nicht. Ihre Rechner dürften heimlich manipuliert worden sein und immer noch für DDoS und Hackversuche missbraucht werden. Vertrauen Sie nicht der Angabe: „Es sieht aus, als ob der Server OK ist.“ Die einzige Möglichkeit, um sicherzustellen, dass man einen gesunden DNS-Server besitzt, ist eine sauberer Neuinstallation mit neu berechneten Datei-Prüfsummen (entweder mit kommerzieller Software wie Tripwire oder Tools wie find-exec und rmd160), die offline auf eine CD-ROM gebrannt werden sollten. Auf diese Weise kann man die System-Integrität später überprüfen

Man kann eine Menge Zeit damit verbringen, nach den Eindringlingen zu suchen – da ist eine Neuinstallation der schnellste Weg. Jede einigermaßen schlaue IT-Abteilung dürfte inzwischen den DNS-Server auf einen separaten Rechner verbannt haben und einen Reserve-Rechner die Arbeit machen lassen.

Falls Sie aus Kostengründen den DNS-Server auf demselben Rechner wie andere Dienste installiert haben, fordern Sie das Schicksal wirklich heraus. Sollte dies tatsächlich der Fall sein, nehmen Sie das zum Anlass, Ihren entscheidenden DNS-Service rigoros abzusichern – denn es ist mehr als wahrscheinlich, dass alle DNS-Server jetzt gründlich überholt werden müssen. Danach können Sie weitere wichtige Server überprüfen, die es nach dem Dominoeffekt möglicherweise auch getroffen hat. Aber jetzt müssen Sie erst einmal den Preis für den mangelhaften Programmcode zahlen – und für die Geheimniskrämerei des ISC, das nur aufs Geld aus ist.