Uni-Server in Deutschland lagerte DDoS-Tool

Die Hinweise verdichten sich: Die Spur der Distributed-Denial-of-Service-Attacken (DDoS) der vergangenen Woche führt nach Deutschland. Des Weiteren unter dringendem Tatverdacht: Die University of California in Santa Barbara. Die Institutsleitung bestätigte mittlerweile, dass wenigstens einer der Rechner an der Uni für den Angriff auf die Site von CNN genutzt wurde. Das FBI ermittelt.

Nach Angaben der Bundespolizei wurde auf einem Server einer nicht benannten deutschen Universität das DDoS-Tool Tribe Flood Network gefunden. Anlass war ein Hacker-Angriff auf den regionale Telefongesellschaft Netcologne in Köln. Dieser durchforstete daraufhin mit dem Scan-Programm Zombie Scan von Mycio.com das Netz und deckte den Uni-Server auf. Netcologne soll mittlerweile Strafanzeige gestellt haben, wollte dazu aber keine Stellungnahme abgeben.

Die Zombie-Scan-Software der Tochtergesellschaft von Network Associates steht unter www.mycio.com zum kostenlosen Download bereit. „Zombie Agents“ werden Server genannt, auf denen – zumeist ohne Wissen der Administratoren – DDoS-Tools wie „Stacheldraht“, „Tribe Flood Network“ oder „Trinoo“ lagern.

Die Funde auf den Uni-Servern in Kalifornien und Deutschland geben aber noch keinen Hinweis auf den oder die Täter. Er oder sie könnte(n) die Maschinen lediglich als Zwischenlager für ihre unheilbringende Fracht eingesetzt haben.

Zwischen Montag und Mittwoch vergangener Woche waren neben der amerikanischen Site von ZDNet auch die Seiten von Yahoo, Ebay, Buy.com, Amazon, E-Trade, CNN und MSN von den Attacken betroffen. Bei den „Distributed-Denial-of-Service“-Angriffen erzeugen der oder die Täter sehr große Datenmengen, mit denen sie gefälschte Anfragen an die Server der attackierten Site richten. Ein „normaler“ Computer kann solche Massen nicht erzeugen. Deshalb sind die Ermittler des FBI überzeugt, dass Cyber-Vandalen unbemerkt die Maschinen ahnungsloser Dritter infiziert haben.