1

Ich bin wieder da!

Posted by Swen on 26. März 2013 in Blogs / Projekte |
  • Sumo

Mit dieser Überschrift lehne ich an meinen letzten Beitrag an. Wie manche vielleicht mitbekommen haben, war diese Seite vergangenes Wochenende nicht erreichbar und erst seit gestern Abend wieder zurück. Auf Facebook haben es ja schon einige mitbekommen, was der Grund war: Ich wurde Opfer eines Hacks!

Was war passiert?
Es war vergangenen Samstag in der Früh, als ich wie immer den Rechner einschaltete. Noch etwas schlaftrunken startete ich u. a. auch Windows Live Mail. Ich wurde schlagartig wach, als die ungelesenen Mails auf über 1000 Stück hoch schnellten. Hierbei handelte es sich um sog. Deliverie Failure Meldungen, bei denen ich mit meinem Anschreiben offensichtlich über 1000 Mailadressen nicht erreichen konnte. Doch Moment, ich hab ja gar keine Mails in dieser Stückzahl verschickt! Irgendwas musste das mit meinen Webseiten zu tun haben. Ein kurzer Check ergab, dass sämtliche Domains, die bei dem einen Provider liegen, nicht erreichbar waren. Immer wieder bekam ich einen 403 Forbidden Fehler zu sehen. Mir wurde heiß und kalt! Schnell per FTP auf den Webspace zugegriffen – das klappte wenigstens noch. Was tun? Ich schrieb gleich einen knappen 2-Zeiler an den Provider, dass ich gehackt worden bin. Um einer Löschung zuvor zu kommen, begann ich schonmal, sämtliche Files und Backups auf meinen Rechner zu kopieren. Von den wichtigsten Domains wird ja sowieso wöchentlich ein Backup per Plugin erstellt.

Was hatte mich denn da erwischt?
Mein Virenscanner schlug beim Runterladen Alarm und fand in einer Datei einen Virus! Hierbei handelte es sich um den php./spyeye Schädling. Google frischte hier schon mal mein Wissen etwas auf: Bei dem Spyeye Schädling handelt es sich um einen Trojaner, der sich vornehmlich auf dem heimischen PC einnistet. Hat man sich den ersteinmal eingefangen, stehen dem Angreifer viele Möglichkeiten offen. Vom Abgreifen der Bankdaten bzw. Kreditkartennummern bis hin zur Fernsteuerung des Rechners – je nach Variante! Lt. meinen Infos ist dieser eine Abwandlung des ZeuS Trojaners, die dann anscheinend fusioniert sind bzw. den ZeuS Coda an den Spyeye Schöpfer verkauft hat. Dieser Trojaner hat nun aus meinem Webspace einen Spammailer gemacht. Nachdem ich auf den FTP die Installation näher angeschaut habe, konnte ich schon anhand des Zeitstempels die manipulierten Dateien ausfindig machen. Es waren 2 Dateien namens vb.php und shell111.php.
Mein Hoster reagierte dann auch in soweit, dass er Samstag nachmittag mir dann auch noch den FTP Zugang sperrte. Persönlich habe ich gar nicht damit gerechnet, dass meinem Ticket am Wochenende überhaupt Beachtung geschenkt wird, aber anscheinend doch, wie ich dann eben auch der Rückmeldung entnommen habe. An dieser Stelle mal ein großes Lob an den Support von Domain Offensive.

Wie konnte das passieren?
Tja, das habe ich noch nicht so ganz raus. Der Angriff erfolgte auf einer meiner Seiten, bei der ich letztes Jahr nur WordPress mit einigen Plugins installiert und seitdem nicht mehr angerührt hatte. Das muss ich allerdings noch näher untersuchen.

Fazit:
Aus Fehlern lernt man ja bekanntlich! Und ich habe daraus gelernt, mehr Sicherheits Plugins zu installieren und eigentlich nur die Seiten zu connecten, die ich auch zeitnah projektieren werde. Demnächst werde ich mich allerdings noch weiter mit dem Thema Hacking beschäftigen (müssen). Dazu habe ich mir mal den PHP-Code aus den o. g. Dateien abgespeichert, bevor ich diese dann vom Server gelöscht habe und werde diesen dann in den kommenden Tage etwas genauer studieren. Die alten Installationen wurden soweit gelöscht und die wichtigsten Seiten – wie auch diese hier – per Backup neu eingespielt. In einem der nächsten Beiträge werde ich dann noch über das ein oder andere Security-Plugin von WordPress schreiben.

Schlagwörter:

1 Comment

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Copyright © 2012-2024 Swen Prause All rights reserved.
This site is using the Desk Mess Mirrored theme, v2.5, from BuyNowShop.com.

banner