2190670

Troll narrte Linux-Experten mit seinem Killer-Befehl

18.04.2016 | 10:21 Uhr |

Mit einem einzigen Linux-Befehl wollte ein Mitarbeiter einer Hosting-Firma alle Kunden-Webseiten und sonstige Daten gelöscht haben. Das Ganze entpuppte sich als ein Hoax.

Update 18.4.: Löschung war "Guerilla-Marketing"

Unser Misstrauen war berechtigt: Das Posting von Marco Marsala (unter dem Forumnamen bleemboy) auf serverfault.com, dass er mit einem einzigen Linux-Befehl ein Unternehmen ausgelöscht habe, war ein Hoax. Im Forum wird nun darüber diskutiert, wie man mit diesem Posting umgehen soll. Viele Forumsmitglieder sind von dem Hoax wenig begeistert.

Marsala, bei dem es sich um einen Unternehmer aus Genua handeln soll, wollte damit eine virale Marketingaktion starten. Beziehungsweise eine „Guerrilla Marketing Operation“, wie es der Urheber selbst nannte. Marsala wollte damit für sein Unternehmen werben, das Server- beziehungsweise Hostingdienste anbietet.

Marsala wollte mit seinem Posting beweisen, wie ungenau in Foren gelesen wird und wie falsch dort mitunter die Antworten sind. Denn sein Befehl, so wie er ihn in dem Serverposting gepostet hatte, würde eben doch keine Gefahr darstellen. Wegen der Sicherheitsmechanismen in Linux, die unter anderem eine Ausführung dieses Befehls verhindern (Hinweis der Redaktion: Genau das hatten wir in unserer ursprünglichen Meldung vermutet, siehe unten).

Die Forumverantwortlichen haben das Troll-Posting mittlerweile gelöscht und sammeln alle Fragen zu diesem Befehl an einer anderen Stelle in ihrem Forum.

Ende des Updates, Beginn der ursprünglichen Meldung

Die Shell-Befehle von Linux sind sehr, sehr mächtig. Und "rm -rf" ist wegen seiner Mächtigkeit der wohl berühmt-berüchtigste Linux-Befehl. Tippt man ihn mit Administratorrechten, also als Root, auf der obersten Ebene der Linux-Verzeichnisebene ein – also: rm –rf / - dann fegt man das komplette System von der Platte. Genau das machte Marco Marsala auf den Servern seiner Firma, wie The Independent schreibt. Damit vernichtete er alle Daten des Unternehmens.

Marsala startete in der Nacht auf einem CentOS7-System ein Bash-Skript, das den Befehl „sudo rm –rf /“ enthielt. CentOS ist eine weit verbreitete Linux-Distribution für Server.

Marsala machte das nicht absichtlich, sondern aus Versehen. Doch die Folgen waren verheerend. Denn die Firma von Marsala hostet die Webseiten von anderen Unternehmen, es handelt sich dabei also um einen Hoster. Und die gehosteten Webseiten waren nun weg. 1535 Kunden sollen von dem Desaster betroffen gewesen sein. Um die Katastrophe perfekt zu machen, löschte das Skript auch gleich noch alle Backups mit.

Als Marsala seinen Fehler bemerkte, suchte er in einem Internetforum verzweifelt nach Hilfe. Doch die Antworten, die er dort bekam, waren wenig erfreulich: “Du hast gerade deine ganze Firma mit einer Atombombe vernichtet“ oder „deine Firma ist nun tot“ oder „du brauchst keine technische Hilfe mehr, sondern du solltest deinen Rechtsanwalt anrufen“.

Merkwürdige Geschichte

Etwas merkwürdig erscheint der Fall allerdings schon. Denn normalerweise kommen beim Löschen ab dem Root-Verzeichnis noch Sicherheitsnachfragen. Oder aber der Befehl ist gesperrt und lässt sich nicht ausführen. Das muss Marsala deaktiviert haben. Beziehungsweise Marsala verwendete den Zusatz „--no-preserve-root“ . Das sorgt dafür, dass Linux den Befehl tatsächlich kompromisslos durchführte. Doch geht das aus dem Posting nicht hervor.

Vor allem aber: Normalerweise können Datenrettungsprofis diese Daten durchaus noch herstellen, so lange die Festplatten nicht mit neuen Daten gefüllt wurden. Zumindest bei den Backup-Dateien sollte das aber keinesfalls der Fall sein. Denn rm löscht die Daten zunächst einmal ja nicht physikalisch, sondern markiert sie nur zur Löschung. Der Speicherplatz wird also zum Neubeschreiben frei gegeben. Anscheinend verwendete Marsala aber auch noch den dd-Befehl, womit er dann in der Tat Speicherabschnitte Bit-genau überschrieben und die darin befindlichen Inhalte vernichtet hätte.

Diese Merkwürdigkeiten führten dazu, dass einige Nutzer des Forums anzweifelten, dass Marsala wirklich real ist. Einige Nutzer vermuteten, dass es sich dabei um einen Troll handeln könnte und sich der Fall so nicht zugetragen habe.

Zu einem späteren Zeitpunkt schrieb Marsala dann aber, dass es gelungen sei, die Daten wiederherzustellen. Dank der Hilfe einer Datenrettungsfirma, wie von uns bereits vermutet.

Microsoft ist sich übrigens der Gefährlichkeit des rm –rf / -Befehls bewusst und hat ihn deshalb in der neuen Bash, die in Windows 10 integriert wird, deaktiviert.


0 Kommentare zu diesem Artikel
2190670