Kategorien AllgemeinIntern

Wir sind nach heftigem Hackerangriff wieder da – und um einige Erfahrungen reicher

Vom 14. März bis 16. März 2012 waren app-kostenlos.de und unsere anderen Seiten nicht online. Wir haben nach einem massiven und zerstörerischen Hackerangriff unseren kompletten Server vom Netz genommen. Über 500.000 Dateien waren zerstört worden. Der Weg war, wie schön öfter,  eine so genannte SQL-Injection, also ein Einspielen von Code in php- und Javascript-Dateien. Wir hatten damit bereits seit September 2011 erhebliche Probleme und haben bisher diese Attacken sehr aufwändig händisch repariert gehabt, dabei aber offenbar nur an der Oberfläche rumgekratzt und die tatsächlichen Gefahrenpunkte nicht oder zumindest nicht ausreichend beseitigt.

Der Hauptgefahrenpunkt ergab sich offenbar aus Timthumb, dass in von uns gekauften WordPress-Layouts enthalten war und als erster Einstiegspunkt diente. Wir haben unsere WordPress-Seiten mit dem Timthumb-Scanner gecheckt. Dieser hat aber leider eine falsche Meldung ausgegeben, nachdem unser Server frei von Angriffspunkten sein. Tatsächlich gemeint war nur der jeweilige Ordner einer Internetpräsenz.Wir dachten, wir hätten das Problem beseitigt, aber dem war nicht so.

Dann haben die Hacker sich weitere Eingangstore geöffnet. In unregelmäßigen Wellen haben die Hacker dann ihren Code zu unseren Dateien hinzugefügt. Das geht dann ganz einfach und „ergänzt“ alle auf dem Server abgelegten Dateien in einem bestimmten Format oder mit einem bestimmten Namen (z.B. index.php)  in nur einer Sekunde. Dieser mehrfach über x64 verschlüsselte Code verwies auf Pornoseiten in Russland, es gab auch Trojaner und andere Malware, die weitere Schädlinge nachladen sollte.

Obwohl wir, wie gesagt, Monate daran gearbeitet haben, konnten wir den Zugangspunkt nicht finden. Nach dem letzten Angriff vergangene Woche haben wir uns dann professionelle Hilfe hinzugenommen und bis Freitagnachmittag den gesamten Server neu aufgesetzt. Direkt im Anschluss wurde der gesamte Server nach dem Aufspielen unseres 45 GB großen Backups einer gründlichen Reinigung unterzogen.  Wir haben ein paar Webpräsenzen gelöscht, die sich nicht auf den neuesten Stand bringen ließen (das bekannte 1&1 Problem mit WordPress 2.86 und dem Update auf PHP5 und MySQL5).

Der amerikanische Sicherheitsexperte Sucuri verfügt über die Tools und Programme, die notwendig sind, um erstens den Server komplett zu reinigen und dann die Seiten kontinuierlich zu überwachen. Diese Arbeiten wurden inzwischen abgeschlossen und nochmals von uns überprüft.

Was haben wir in den letzten Tagen gelernt:

  • Keine Webseite und kein Server ist heute mehr wirklich vor Angriffen geschützt
  • Reine HTML-Seiten sind recht sicher, gefährlicher wird es immer, wenn Scripte eingesetzt werden.
  • Das Risiko kann nur vermindert werden, indem alle verwendeten Scripte (WordPress, Joomla und deren Erweiterungen) immer auf dem neuesten Stand sind.
  • Ergänze Deine WordPress-Installation mit Sicherheitssoftware (BPS Security, WSD SEcurity, WP-Malwatch, WP-Sentinel und weitere) und richte diese optimal ein, um die Hürden zu erhöhen.
  • Bearbeite auch die Zugriffsrechte für die Dateien. Je weniger Rechte zu vergibst, desto besser. BPS Security sagt Dir, wo Du Anpassungen vornehmen solltest.
  • Aus verschiedenen Gesprächen der letzten Tage wissen wir, dass sehr viele Webseitenbetreiber viel zu wenig für die Sicherheit tun und dann im Falle eines Angriffs nicht einmal reagieren. Oft aus Unkenntnis, was da gerade passiert.
  • Auch Backups sind keine Versicherung für den Krisen-Fall, wenn Du nicht zu 100% sicher sein kannst, dass das Backup nicht auch a) infiziert ist oder b) Zugänge für Hacker beinhaltet.
  • Wenn Deine Seiten absolut sauber sind, ziehe sie auf eine lokale Festplatte, so dass Du eine Sicherung hast.
  • Im Prinzip findest Du alle Antworten auf Deine Fragen im Netz, Du musst nur richtig danach suchen.

Wir hoffen nun, durch erhöhte Aufmerksamkeit das Risiko zu vermindern, denn ganz ausschließen lässt es sich leider nicht. Und ab heute geht es – nach der Zwangspause – wieder weiter mit den besten kurzfristig oder dauerhaft kostenlosen oder stark reduzierten Apps für iPhone, iPod Touch und iPad.

 

Markus Burgdorf

Markus Burgdorf startete App-kostenlos.de im Januar 2010 und hat seitdem über 10.000 Apps getestet. Mittlerweile berät er über die App Agency App-Herausgeber in den Bereichen Vermarktung von Apps, Entwicklung von Apps, Internationalisierung und arbeitet mit seinen Kunden daran, das Nutzererlebnis bei der Verwendung von Apps zu verbessern.

Kommentare ansehen

  • ich habe großen Respekt vor euch und verachte diese Spinner, die tolle Seiten wie diese kaputt machen und für ihren Schabernack missbrauchen wollen. Dies verursacht unnötige Kosten, die für besseres genutzt werden könnten.
    Ahoj euch und alles Gute für die Zukunft

  • Hallo Markus, ich kann solche Spinner absolut nicht verstehen, besonders versteh ich den Zweck solcher Attacken nicht (jetzt bezogen auf Eure Seiten). Was hat er den davon??? Hut ab vor Dir und Deinem Team, ihr macht wirklich sehr gute Arbeit, lasst Euch nicht unterkriegen. Ich wünsch Euch weiterhin alles Gute und MEGA Erfolg, ein treuer Fan von der ersten Stunde an .... =)

  • Hey, schön, dass ihr wieder da seid!

    Mir persönlich fehlt übrigens ein mobiles Theme, hattet ihr einfach keins oder habt ihr das (noch) nicht wieder implementiert? Übrigens würde ich euch von Hosting bei 1&1 abraten, geht lieber zu einem Hoster mit anständigem Support, die können mitunter bei solchen Problemen helfen und bieten meist mehr Optionen (wobei für mich persönlich schon der bessere Service ausschlaggebend ist)

  • Und da ist auch das mobile Layout aufgetaucht. Schön, das könnt ihr also ignorieren

  • Ich lese nur immer was von Insolvenz wenn ich nach Markus Burgdorf google.
    Das Internet ist nicht scheisse, die Menschen die es kaputt machen sind scheisse. :-(
    Bin froh, das diese Seite wieder da ist :-)

    • Tja Rudi, das mit der Insolvenz ist eine andere Geschichte. Für eine von mir gegründete Firma musste ich Insolvenz anmelden, nachdem ein Investor seine vertraglichen Zusagen nicht eingehalten hatte. Das war sehr traurig und dramatisch. Seitdem nur noch ohne Investoren.

  • Fair wäre es wenn ihr auch alle Besucher darüber aufklärt das sie sich eventuell Schädlinge eingefangen haben. Bei mir ist Kaspersky beim Besuchen von app-kostenlos.de vor einigen Tagen mehrfach angesprungen und hat die Seite geblockt.

    • Hallo Adi, genau deshalb haben wir ja den ganzen Server vom Netz genommen, um Infektionen zu vermeiden. Wer heute im Internet ohne jeden Schutz unterwegs ist, handelt fahrlässig. Wer kein Internetsicherheits-Tool auf dem Rechner installiert hat, wird einen infizierten Rechner haben - das passiert nach Expertenmeinung schon innerhalb weniger Minuten nach dem Start ins Internet.

      • Wer eine kostenlose Lösung sucht, um den eigenen Rechner auf Schadsoftware zu scannen und mit Schutz durchs Internet zu surfen, sollte sich ein Programm wie Avira auf den Rechner laden und einen kompletten Scan durchführen.

  • Klar ist es ineressant zu wissen, ob eine Gefahr für die Userrechner besteht!?? Und wie man es kontrollieren kann!
    Bisher war dies immer eine super Seite.

  • Avira mag ganz gut sein, aber Avast ist besser ;-) (Und auch kostenlos)
    @Markus, sowas ist natürlich doof wenn man sich auf andere nicht verlassen kann :-(
    Ich hoffe, das es nun nur noch aufwärts geht, diese Seite ist und bleibt mein Favorit :-)

  • Ich hab mir auf diesen Weg wohl den W32/Ch***-Porn.Proxy Trojaner eingefangen, sehr ärgerlich. Musste das System komplett neu installieren :(

    @Rudi: ich hatte Avast, und mir genau damit den Trojaner eingefangen, bin jetzt auf Avira umgestiegen und überlege Kaspersky zu kaufen.

    • Hallo Markus,

      von uns kannst Du den Trojaner nicht bekommen haben. Ich war gerade auf dem Server online, als der Angriff lief und habe sofort reagiert. Die Seite war nicht aufrufbar - so kann auch keine Infizierung stattgefunden haben. Genaue Zeit des Angriffs war: 14. März um 11:50 Uhr. Ich höre aber auch, dass gerade eine richtige Welle läuft und viele Server davon betroffen sind. Wenn ein solcher Angriff nicht bemerkt wird, können sich Trojaner auf diesem Weg auf den Besucherrechnern einnisten. Normal bekommt man die mit Sicherheitssoftware aber weg, ohne ein System neu aufsetzen zu müssen.

    • @Markus Kaspersky würde ich dir schon empfehlen. Immer deutlich über 99% Erkennungsrate, und der hat hier auf einem Business-Security-geschützten (!) Windows mehrere Trojaner gefunden.

1 2
Kommentar hinterlassen
Teilen
Veröffentlicht von
Markus Burgdorf
Stichwörter AppsApps kostenlosdie besten kostenlosen AppsHackerangriffMalwareMalware-CleaningSecuriServercleaningServermonitoringSQL-InjectionTimthumbWordpress
12 Jahren her

Letzte Beiträge

3.000 Level gespielt: Gummy Drop überzeugt als faires Free-to-Play Spiel für iPhone und iPad

Manche Spiele schaffen es, sich in Dein Herz zu schleichen und zum dauerhaften Begleiter zu…

4 Jahren her

App Taxi Deutschland für iOS und Android komplett überarbeitet

Die kostenlose App Taxi Deutschland gibt es jetzt in einer überarbeiteten Version: Bestellen, bezahlen und…

5 Jahren her

Apache Hubschraubersimulationen für iPhone und iPad kurzzeitig kostenlos

Je eine Kampfhubschraubersimulation des Apache-Helis für iPhone und iPad gibt es heute gratis. Lerne das…

5 Jahren her

Mit dem iPhone fotografieren, wie mit der Spiegelreflexkamera – die App dafür ist heute gratis

Wenn man mit einer Spiegelreflex-Kamera fotografiert, kann man den Fokus so einstellen, dass nur die…

6 Jahren her

Der Finder für Dateien auf iPhone und iPad – Documents von Readdle ist gerade kostenlos

Wer auf seinem iPhone oder iPad mit Dateien arbeiten möchte, ganz egal ob Texte, PDF…

6 Jahren her

Tischtennis auf iPhone und iPad heute kostenlos – top bewertete Premium-App gratis

Das heute kostenlose Table Tennis Touch ist eine gute Umsetzung des Tischtennis-Spiels auf Mobilgeräte. Die…

6 Jahren her