Wir sind nach heftigem Hackerangriff wieder da – und um einige Erfahrungen reicher

Vom 14. März bis 16. März 2012 waren app-kostenlos.de und unsere anderen Seiten nicht online. Wir haben nach einem massiven und zerstörerischen Hackerangriff unseren kompletten Server vom Netz genommen. Über 500.000 Dateien waren zerstört worden. Der Weg war, wie schön öfter,  eine so genannte SQL-Injection, also ein Einspielen von Code in php- und Javascript-Dateien. Wir hatten damit bereits seit September 2011 erhebliche Probleme und haben bisher diese Attacken sehr aufwändig händisch repariert gehabt, dabei aber offenbar nur an der Oberfläche rumgekratzt und die tatsächlichen Gefahrenpunkte nicht oder zumindest nicht ausreichend beseitigt.

Der Hauptgefahrenpunkt ergab sich offenbar aus Timthumb, dass in von uns gekauften WordPress-Layouts enthalten war und als erster Einstiegspunkt diente. Wir haben unsere WordPress-Seiten mit dem Timthumb-Scanner gecheckt. Dieser hat aber leider eine falsche Meldung ausgegeben, nachdem unser Server frei von Angriffspunkten sein. Tatsächlich gemeint war nur der jeweilige Ordner einer Internetpräsenz.Wir dachten, wir hätten das Problem beseitigt, aber dem war nicht so.

Dann haben die Hacker sich weitere Eingangstore geöffnet. In unregelmäßigen Wellen haben die Hacker dann ihren Code zu unseren Dateien hinzugefügt. Das geht dann ganz einfach und „ergänzt“ alle auf dem Server abgelegten Dateien in einem bestimmten Format oder mit einem bestimmten Namen (z.B. index.php)  in nur einer Sekunde. Dieser mehrfach über x64 verschlüsselte Code verwies auf Pornoseiten in Russland, es gab auch Trojaner und andere Malware, die weitere Schädlinge nachladen sollte.

Obwohl wir, wie gesagt, Monate daran gearbeitet haben, konnten wir den Zugangspunkt nicht finden. Nach dem letzten Angriff vergangene Woche haben wir uns dann professionelle Hilfe hinzugenommen und bis Freitagnachmittag den gesamten Server neu aufgesetzt. Direkt im Anschluss wurde der gesamte Server nach dem Aufspielen unseres 45 GB großen Backups einer gründlichen Reinigung unterzogen.  Wir haben ein paar Webpräsenzen gelöscht, die sich nicht auf den neuesten Stand bringen ließen (das bekannte 1&1 Problem mit WordPress 2.86 und dem Update auf PHP5 und MySQL5).

Der amerikanische Sicherheitsexperte Sucuri verfügt über die Tools und Programme, die notwendig sind, um erstens den Server komplett zu reinigen und dann die Seiten kontinuierlich zu überwachen. Diese Arbeiten wurden inzwischen abgeschlossen und nochmals von uns überprüft.

Was haben wir in den letzten Tagen gelernt:

• Keine Webseite und kein Server ist heute mehr wirklich vor Angriffen geschützt
• Reine HTML-Seiten sind recht sicher, gefährlicher wird es immer, wenn Scripte eingesetzt werden.
• Das Risiko kann nur vermindert werden, indem alle verwendeten Scripte (WordPress, Joomla und deren Erweiterungen) immer auf dem neuesten Stand sind.
• Ergänze Deine WordPress-Installation mit Sicherheitssoftware (BPS Security, WSD SEcurity, WP-Malwatch, WP-Sentinel und weitere) und richte diese optimal ein, um die Hürden zu erhöhen.
• Bearbeite auch die Zugriffsrechte für die Dateien. Je weniger Rechte zu vergibst, desto besser. BPS Security sagt Dir, wo Du Anpassungen vornehmen solltest.
• Aus verschiedenen Gesprächen der letzten Tage wissen wir, dass sehr viele Webseitenbetreiber viel zu wenig für die Sicherheit tun und dann im Falle eines Angriffs nicht einmal reagieren. Oft aus Unkenntnis, was da gerade passiert.
• Auch Backups sind keine Versicherung für den Krisen-Fall, wenn Du nicht zu 100% sicher sein kannst, dass das Backup nicht auch a) infiziert ist oder b) Zugänge für Hacker beinhaltet.
• Wenn Deine Seiten absolut sauber sind, ziehe sie auf eine lokale Festplatte, so dass Du eine Sicherung hast.
• Im Prinzip findest Du alle Antworten auf Deine Fragen im Netz, Du musst nur richtig danach suchen.

Wir hoffen nun, durch erhöhte Aufmerksamkeit das Risiko zu vermindern, denn ganz ausschließen lässt es sich leider nicht. Und ab heute geht es – nach der Zwangspause – wieder weiter mit den besten kurzfristig oder dauerhaft kostenlosen oder stark reduzierten Apps für iPhone, iPod Touch und iPad.