Der Hauptgefahrenpunkt ergab sich offenbar aus Timthumb, dass in von uns gekauften WordPress-Layouts enthalten war und als erster Einstiegspunkt diente. Wir haben unsere WordPress-Seiten mit dem Timthumb-Scanner gecheckt. Dieser hat aber leider eine falsche Meldung ausgegeben, nachdem unser Server frei von Angriffspunkten sein. Tatsächlich gemeint war nur der jeweilige Ordner einer Internetpräsenz.Wir dachten, wir hätten das Problem beseitigt, aber dem war nicht so.
Dann haben die Hacker sich weitere Eingangstore geöffnet. In unregelmäßigen Wellen haben die Hacker dann ihren Code zu unseren Dateien hinzugefügt. Das geht dann ganz einfach und „ergänzt“ alle auf dem Server abgelegten Dateien in einem bestimmten Format oder mit einem bestimmten Namen (z.B. index.php) in nur einer Sekunde. Dieser mehrfach über x64 verschlüsselte Code verwies auf Pornoseiten in Russland, es gab auch Trojaner und andere Malware, die weitere Schädlinge nachladen sollte.
Obwohl wir, wie gesagt, Monate daran gearbeitet haben, konnten wir den Zugangspunkt nicht finden. Nach dem letzten Angriff vergangene Woche haben wir uns dann professionelle Hilfe hinzugenommen und bis Freitagnachmittag den gesamten Server neu aufgesetzt. Direkt im Anschluss wurde der gesamte Server nach dem Aufspielen unseres 45 GB großen Backups einer gründlichen Reinigung unterzogen. Wir haben ein paar Webpräsenzen gelöscht, die sich nicht auf den neuesten Stand bringen ließen (das bekannte 1&1 Problem mit WordPress 2.86 und dem Update auf PHP5 und MySQL5).
Der amerikanische Sicherheitsexperte Sucuri verfügt über die Tools und Programme, die notwendig sind, um erstens den Server komplett zu reinigen und dann die Seiten kontinuierlich zu überwachen. Diese Arbeiten wurden inzwischen abgeschlossen und nochmals von uns überprüft.
Was haben wir in den letzten Tagen gelernt:
Wir hoffen nun, durch erhöhte Aufmerksamkeit das Risiko zu vermindern, denn ganz ausschließen lässt es sich leider nicht. Und ab heute geht es – nach der Zwangspause – wieder weiter mit den besten kurzfristig oder dauerhaft kostenlosen oder stark reduzierten Apps für iPhone, iPod Touch und iPad.
Manche Spiele schaffen es, sich in Dein Herz zu schleichen und zum dauerhaften Begleiter zu…
Die kostenlose App Taxi Deutschland gibt es jetzt in einer überarbeiteten Version: Bestellen, bezahlen und…
Je eine Kampfhubschraubersimulation des Apache-Helis für iPhone und iPad gibt es heute gratis. Lerne das…
Wenn man mit einer Spiegelreflex-Kamera fotografiert, kann man den Fokus so einstellen, dass nur die…
Wer auf seinem iPhone oder iPad mit Dateien arbeiten möchte, ganz egal ob Texte, PDF…
Das heute kostenlose Table Tennis Touch ist eine gute Umsetzung des Tischtennis-Spiels auf Mobilgeräte. Die…
Kommentare ansehen
ich habe großen Respekt vor euch und verachte diese Spinner, die tolle Seiten wie diese kaputt machen und für ihren Schabernack missbrauchen wollen. Dies verursacht unnötige Kosten, die für besseres genutzt werden könnten.
Ahoj euch und alles Gute für die Zukunft
Hallo Markus, ich kann solche Spinner absolut nicht verstehen, besonders versteh ich den Zweck solcher Attacken nicht (jetzt bezogen auf Eure Seiten). Was hat er den davon??? Hut ab vor Dir und Deinem Team, ihr macht wirklich sehr gute Arbeit, lasst Euch nicht unterkriegen. Ich wünsch Euch weiterhin alles Gute und MEGA Erfolg, ein treuer Fan von der ersten Stunde an .... =)
Hey, schön, dass ihr wieder da seid!
Mir persönlich fehlt übrigens ein mobiles Theme, hattet ihr einfach keins oder habt ihr das (noch) nicht wieder implementiert? Übrigens würde ich euch von Hosting bei 1&1 abraten, geht lieber zu einem Hoster mit anständigem Support, die können mitunter bei solchen Problemen helfen und bieten meist mehr Optionen (wobei für mich persönlich schon der bessere Service ausschlaggebend ist)
Und da ist auch das mobile Layout aufgetaucht ;)
Und da ist auch das mobile Layout aufgetaucht. Schön, das könnt ihr also ignorieren
Ich lese nur immer was von Insolvenz wenn ich nach Markus Burgdorf google.
Das Internet ist nicht scheisse, die Menschen die es kaputt machen sind scheisse. :-(
Bin froh, das diese Seite wieder da ist :-)
Tja Rudi, das mit der Insolvenz ist eine andere Geschichte. Für eine von mir gegründete Firma musste ich Insolvenz anmelden, nachdem ein Investor seine vertraglichen Zusagen nicht eingehalten hatte. Das war sehr traurig und dramatisch. Seitdem nur noch ohne Investoren.
Fair wäre es wenn ihr auch alle Besucher darüber aufklärt das sie sich eventuell Schädlinge eingefangen haben. Bei mir ist Kaspersky beim Besuchen von app-kostenlos.de vor einigen Tagen mehrfach angesprungen und hat die Seite geblockt.
Hallo Adi, genau deshalb haben wir ja den ganzen Server vom Netz genommen, um Infektionen zu vermeiden. Wer heute im Internet ohne jeden Schutz unterwegs ist, handelt fahrlässig. Wer kein Internetsicherheits-Tool auf dem Rechner installiert hat, wird einen infizierten Rechner haben - das passiert nach Expertenmeinung schon innerhalb weniger Minuten nach dem Start ins Internet.
Wer eine kostenlose Lösung sucht, um den eigenen Rechner auf Schadsoftware zu scannen und mit Schutz durchs Internet zu surfen, sollte sich ein Programm wie Avira auf den Rechner laden und einen kompletten Scan durchführen.
Klar ist es ineressant zu wissen, ob eine Gefahr für die Userrechner besteht!?? Und wie man es kontrollieren kann!
Bisher war dies immer eine super Seite.
Avira mag ganz gut sein, aber Avast ist besser ;-) (Und auch kostenlos)
@Markus, sowas ist natürlich doof wenn man sich auf andere nicht verlassen kann :-(
Ich hoffe, das es nun nur noch aufwärts geht, diese Seite ist und bleibt mein Favorit :-)
Ich hab mir auf diesen Weg wohl den W32/Ch***-Porn.Proxy Trojaner eingefangen, sehr ärgerlich. Musste das System komplett neu installieren :(
@Rudi: ich hatte Avast, und mir genau damit den Trojaner eingefangen, bin jetzt auf Avira umgestiegen und überlege Kaspersky zu kaufen.
Hallo Markus,
von uns kannst Du den Trojaner nicht bekommen haben. Ich war gerade auf dem Server online, als der Angriff lief und habe sofort reagiert. Die Seite war nicht aufrufbar - so kann auch keine Infizierung stattgefunden haben. Genaue Zeit des Angriffs war: 14. März um 11:50 Uhr. Ich höre aber auch, dass gerade eine richtige Welle läuft und viele Server davon betroffen sind. Wenn ein solcher Angriff nicht bemerkt wird, können sich Trojaner auf diesem Weg auf den Besucherrechnern einnisten. Normal bekommt man die mit Sicherheitssoftware aber weg, ohne ein System neu aufsetzen zu müssen.
@Markus, das ist nicht schön, was tun? Zurück zu Avira? Scheiss Hacker!
@Markus Kaspersky würde ich dir schon empfehlen. Immer deutlich über 99% Erkennungsrate, und der hat hier auf einem Business-Security-geschützten (!) Windows mehrere Trojaner gefunden.
@Wobintosh
Was kostet der in etwa? Oder reicht die kostenlose Version?