Wir sind nach heftigem Hackerangriff wieder da – und um einige Erfahrungen reicher

| 18. März 2012 | 20 Kommentare

Vom 14. März bis 16. März 2012 waren app-kostenlos.de und unsere anderen Seiten nicht online. Wir haben nach einem massiven und zerstörerischen Hackerangriff unseren kompletten Server vom Netz genommen. Über 500.000 Dateien waren zerstört worden. Der Weg war, wie schön öfter,  eine so genannte SQL-Injection, also ein Einspielen von Code in php- und Javascript-Dateien. Wir hatten damit bereits seit September 2011 erhebliche Probleme und haben bisher diese Attacken sehr aufwändig händisch repariert gehabt, dabei aber offenbar nur an der Oberfläche rumgekratzt und die tatsächlichen Gefahrenpunkte nicht oder zumindest nicht ausreichend beseitigt.

Der Hauptgefahrenpunkt ergab sich offenbar aus Timthumb, dass in von uns gekauften WordPress-Layouts enthalten war und als erster Einstiegspunkt diente. Wir haben unsere WordPress-Seiten mit dem Timthumb-Scanner gecheckt. Dieser hat aber leider eine falsche Meldung ausgegeben, nachdem unser Server frei von Angriffspunkten sein. Tatsächlich gemeint war nur der jeweilige Ordner einer Internetpräsenz.Wir dachten, wir hätten das Problem beseitigt, aber dem war nicht so.

Dann haben die Hacker sich weitere Eingangstore geöffnet. In unregelmäßigen Wellen haben die Hacker dann ihren Code zu unseren Dateien hinzugefügt. Das geht dann ganz einfach und “ergänzt” alle auf dem Server abgelegten Dateien in einem bestimmten Format oder mit einem bestimmten Namen (z.B. index.php)  in nur einer Sekunde. Dieser mehrfach über x64 verschlüsselte Code verwies auf Pornoseiten in Russland, es gab auch Trojaner und andere Malware, die weitere Schädlinge nachladen sollte.

Obwohl wir, wie gesagt, Monate daran gearbeitet haben, konnten wir den Zugangspunkt nicht finden. Nach dem letzten Angriff vergangene Woche haben wir uns dann professionelle Hilfe hinzugenommen und bis Freitagnachmittag den gesamten Server neu aufgesetzt. Direkt im Anschluss wurde der gesamte Server nach dem Aufspielen unseres 45 GB großen Backups einer gründlichen Reinigung unterzogen.  Wir haben ein paar Webpräsenzen gelöscht, die sich nicht auf den neuesten Stand bringen ließen (das bekannte 1&1 Problem mit WordPress 2.86 und dem Update auf PHP5 und MySQL5).

Der amerikanische Sicherheitsexperte Sucuri verfügt über die Tools und Programme, die notwendig sind, um erstens den Server komplett zu reinigen und dann die Seiten kontinuierlich zu überwachen. Diese Arbeiten wurden inzwischen abgeschlossen und nochmals von uns überprüft.

Was haben wir in den letzten Tagen gelernt:

  • Keine Webseite und kein Server ist heute mehr wirklich vor Angriffen geschützt
  • Reine HTML-Seiten sind recht sicher, gefährlicher wird es immer, wenn Scripte eingesetzt werden.
  • Das Risiko kann nur vermindert werden, indem alle verwendeten Scripte (WordPress, Joomla und deren Erweiterungen) immer auf dem neuesten Stand sind.
  • Ergänze Deine WordPress-Installation mit Sicherheitssoftware (BPS Security, WSD SEcurity, WP-Malwatch, WP-Sentinel und weitere) und richte diese optimal ein, um die Hürden zu erhöhen.
  • Bearbeite auch die Zugriffsrechte für die Dateien. Je weniger Rechte zu vergibst, desto besser. BPS Security sagt Dir, wo Du Anpassungen vornehmen solltest.
  • Aus verschiedenen Gesprächen der letzten Tage wissen wir, dass sehr viele Webseitenbetreiber viel zu wenig für die Sicherheit tun und dann im Falle eines Angriffs nicht einmal reagieren. Oft aus Unkenntnis, was da gerade passiert.
  • Auch Backups sind keine Versicherung für den Krisen-Fall, wenn Du nicht zu 100% sicher sein kannst, dass das Backup nicht auch a) infiziert ist oder b) Zugänge für Hacker beinhaltet.
  • Wenn Deine Seiten absolut sauber sind, ziehe sie auf eine lokale Festplatte, so dass Du eine Sicherung hast.
  • Im Prinzip findest Du alle Antworten auf Deine Fragen im Netz, Du musst nur richtig danach suchen.

Wir hoffen nun, durch erhöhte Aufmerksamkeit das Risiko zu vermindern, denn ganz ausschließen lässt es sich leider nicht. Und ab heute geht es – nach der Zwangspause – wieder weiter mit den besten kurzfristig oder dauerhaft kostenlosen oder stark reduzierten Apps für iPhone, iPod Touch und iPad.

 

Stichworte:: , , , , , , , , , , ,

Kategorie: Allgemein, Intern

Über den Autor des Beitrages: ()

Markus Burgdorf startete App-kostenlos.de im Januar 2010 und hat seitdem über 10.000 Apps getestet. Mittlerweile berät er über die App Agency App-Herausgeber in den Bereichen Vermarktung von Apps, Entwicklung von Apps, Internationalisierung und arbeitet mit seinen Kunden daran, das Nutzererlebnis bei der Verwendung von Apps zu verbessern.

Kommentare (20)

Trackback URL | Kommentar RSS Feed

  1. hans sagt:

    ich habe großen Respekt vor euch und verachte diese Spinner, die tolle Seiten wie diese kaputt machen und für ihren Schabernack missbrauchen wollen. Dies verursacht unnötige Kosten, die für besseres genutzt werden könnten.
    Ahoj euch und alles Gute für die Zukunft

  2. Diodor sagt:

    Hallo Markus, ich kann solche Spinner absolut nicht verstehen, besonders versteh ich den Zweck solcher Attacken nicht (jetzt bezogen auf Eure Seiten). Was hat er den davon??? Hut ab vor Dir und Deinem Team, ihr macht wirklich sehr gute Arbeit, lasst Euch nicht unterkriegen. Ich wünsch Euch weiterhin alles Gute und MEGA Erfolg, ein treuer Fan von der ersten Stunde an …. =)

  3. WobIntosh sagt:

    Hey, schön, dass ihr wieder da seid!

    Mir persönlich fehlt übrigens ein mobiles Theme, hattet ihr einfach keins oder habt ihr das (noch) nicht wieder implementiert? Übrigens würde ich euch von Hosting bei 1&1 abraten, geht lieber zu einem Hoster mit anständigem Support, die können mitunter bei solchen Problemen helfen und bieten meist mehr Optionen (wobei für mich persönlich schon der bessere Service ausschlaggebend ist)

  4. WobIntosh sagt:

    Und da ist auch das mobile Layout aufgetaucht ;)

  5. WobIntosh sagt:

    Und da ist auch das mobile Layout aufgetaucht. Schön, das könnt ihr also ignorieren

  6. Rudi sagt:

    Ich lese nur immer was von Insolvenz wenn ich nach Markus Burgdorf google.
    Das Internet ist nicht scheisse, die Menschen die es kaputt machen sind scheisse. :-(
    Bin froh, das diese Seite wieder da ist :-)

  7. adi sagt:

    Fair wäre es wenn ihr auch alle Besucher darüber aufklärt das sie sich eventuell Schädlinge eingefangen haben. Bei mir ist Kaspersky beim Besuchen von app-kostenlos.de vor einigen Tagen mehrfach angesprungen und hat die Seite geblockt.

  8. Jan sagt:

    Klar ist es ineressant zu wissen, ob eine Gefahr für die Userrechner besteht!?? Und wie man es kontrollieren kann!
    Bisher war dies immer eine super Seite.

  9. Tja Rudi, das mit der Insolvenz ist eine andere Geschichte. Für eine von mir gegründete Firma musste ich Insolvenz anmelden, nachdem ein Investor seine vertraglichen Zusagen nicht eingehalten hatte. Das war sehr traurig und dramatisch. Seitdem nur noch ohne Investoren.

  10. Hallo Adi, genau deshalb haben wir ja den ganzen Server vom Netz genommen, um Infektionen zu vermeiden. Wer heute im Internet ohne jeden Schutz unterwegs ist, handelt fahrlässig. Wer kein Internetsicherheits-Tool auf dem Rechner installiert hat, wird einen infizierten Rechner haben – das passiert nach Expertenmeinung schon innerhalb weniger Minuten nach dem Start ins Internet.

  11. Wer eine kostenlose Lösung sucht, um den eigenen Rechner auf Schadsoftware zu scannen und mit Schutz durchs Internet zu surfen, sollte sich ein Programm wie Avira auf den Rechner laden und einen kompletten Scan durchführen.

  12. Rudi sagt:

    Avira mag ganz gut sein, aber Avast ist besser ;-) (Und auch kostenlos)
    @Markus, sowas ist natürlich doof wenn man sich auf andere nicht verlassen kann :-(
    Ich hoffe, das es nun nur noch aufwärts geht, diese Seite ist und bleibt mein Favorit :-)

  13. markus sagt:

    Ich hab mir auf diesen Weg wohl den W32/Ch***-Porn.Proxy Trojaner eingefangen, sehr ärgerlich. Musste das System komplett neu installieren :(

    @Rudi: ich hatte Avast, und mir genau damit den Trojaner eingefangen, bin jetzt auf Avira umgestiegen und überlege Kaspersky zu kaufen.

  14. Hallo Markus,

    von uns kannst Du den Trojaner nicht bekommen haben. Ich war gerade auf dem Server online, als der Angriff lief und habe sofort reagiert. Die Seite war nicht aufrufbar – so kann auch keine Infizierung stattgefunden haben. Genaue Zeit des Angriffs war: 14. März um 11:50 Uhr. Ich höre aber auch, dass gerade eine richtige Welle läuft und viele Server davon betroffen sind. Wenn ein solcher Angriff nicht bemerkt wird, können sich Trojaner auf diesem Weg auf den Besucherrechnern einnisten. Normal bekommt man die mit Sicherheitssoftware aber weg, ohne ein System neu aufsetzen zu müssen.

  15. Rudi sagt:

    @Markus, das ist nicht schön, was tun? Zurück zu Avira? Scheiss Hacker!

  16. WobIntosh sagt:

    @Markus Kaspersky würde ich dir schon empfehlen. Immer deutlich über 99% Erkennungsrate, und der hat hier auf einem Business-Security-geschützten (!) Windows mehrere Trojaner gefunden.

  17. Rudi sagt:

    @Wobintosh
    Was kostet der in etwa? Oder reicht die kostenlose Version?

  18. Verstärkte Sicherheitsmaßnahmen können – wie mir von Nutzern berichtet wurde – dazu führen, dass längere Kommentare abgelehnt werden. Ich probiere das gerade mal aus. Die Sicherheitseinstellungen sind jetzt so scharf, dass ich mich vorgestern selbst nicht so einfach einloggen konnte…

    Das ist der Preis der Sicherheit…

  19. WobIntosh sagt:

    Da gibt es eine Gratis-Version von? Der Preis hängt davon ab, welche Version von Kspersky du kaufst, ich habe eine 3-PC-Lizenz von PURE, Sicherheit, Kinderschutz für kleine Brüder,sicheres Löschen, temporäre Dateien entfernen, Passwortsafe, Dokumentencontainer, … (2-Jahres-Lizenz von Version 1)? Theoretisch sogar mit integriertem Backup. Links kann ich dir leider nicht posten

  20. WobIntosh sagt:

    Was da das beste Kaspersky für dich ist, weiß ich natürlich nicht, ich gehe aber davon aus, dass bei die das normale Antivirus für ca. 30€ reicht

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Bad Behavior has blocked 4777 access attempts in the last 7 days.

banner