Vorneweg: Das muss ich einfach bloggen, tut mir leid… đ
Letzten Dienstag habe ich durch Zufall im gröĂten Stress entdeckt, dass eine meiner alten Seiten (justpowder.de) gehackt worden war. Nach den schnellen Erste Hilfe MaĂnahmen machten sich langsam RachegelĂŒste breit. Denn was kann man schon tun?
Aber Eins nach dem Anderen – hier die komplette Story:
Was ist denn passiert?
Letzten Dienstag hatte ich die Ehre fĂŒr die TYPO3 Usergroup MĂŒnchen einen kleinen SEO Vortrag zu halten. Da ich in der Regel so lange ein Motivationsproblem habe, bis daraus ein Zeitproblem wird, begann ich „bereits“ Dienstag Mittag, in aller Hektik ein paar Powerpoint Slides fĂŒr den Vortrag anzufertigen.
Nur aus Versehen klickte ich in meinen Favoriten im Firefox auf einen Link zu eine meiner alten Seiten (justpowder.de). FrĂŒher konnte man hier noch in einem commerce Shop Ski- und Snowboard Accessoires erwerben.
Als ich noch fluchend versuchte, die Escape Taste zu drĂŒcken, bevor die falsche Seite komplett geladen wurde, wehte mir bereits ein „Als attackierend gemeldete Website“ Banner entgegen.
Nach gefĂŒhlten 100 Mal Klicken auf den Button „Warnung ignorieren“, wurde ich auf die gewĂŒnschte Seite geleitet. Ein kurzer Blick in den HTML Code zeigte ein nettes iframe, das ĂŒber JS am Ende der Seite hinzugefĂŒgt wurde.
Nach einer kurzen anfĂ€nglichen LĂ€hmung („Das kann doch nicht wahr sein…“) entschloss ich mich, die Domain auf einpraegsam.net umzuleiten, bis ich fĂŒr dieses Problem mehr Zeit haben wĂŒrde. Der Shop auf justpowder war sowieso stillgelegt – ich hatte die Seite nur noch nicht komplett abgeschaltet, weil ich hier mal sehr viel Zeit investiert hatte (ihr kennt sicher alle diese Wehmut…).
Was habe ich nach der Entdeckung getan?
Wie bereits erwĂ€hnt, verhinderte ich zu allererst das Ausliefern der Seite, indem ich die Domain umleitete. Das wĂŒrde ich auch anderen empfehlen, die ein Ă€hnliches Problem haben.
Mein nÀchster Gedanke: Ich brauche Hilfe von den Server-Profis! Ich habe mich also gleich bei 1und1 eingeloggt, in den Adminbereich meines Manged Servers. Dort gibt es auch irgendwo tief versteckt eine Möglichkeit mit dem Support Team Kontakt aufzunehmen: In diesem Sinne Problem geschildert und Nachricht abgeschickt.
Zwei Tage (!) nach der unglaublichen Entdeckung kam auch schon die hilfreiche Antwort von den „Internet Experten“: „Halten Sie Ihre PHP Anwendungen immer aktuell, ansonsten können Sie sich ja die Logfiles anschauen…“.
Naja, mit allzu groĂer Hilfsbereitschaft hatte ich ohnehin nicht gerechnet und machte mich somit gleich selbst anâs Werk.
Wie konnte ich den Angreifer isolieren?
Ich hatte mir einen Teil des fremden Codes in die Zwischenablage kopiert und dann ĂŒber Shellzugriff nach Dateien mit diesem Code gesucht: Nahezu alle index.* Dateien waren befallen. Interessant war das Ănderungsdatum einer dieser Dateien. Das gab mir Aufschluss auf die Angriffszeit.
Danach sah ich mir das normale Logfile des Servers an. Zur gemerkten Zeit gab es keine auĂergewöhnlichen GET oder POST Anfragen an den Server.
Bereits halb entmutigt sah ich mir auch noch das Logfile der FTP Zugriffe an und hier wurde ich fĂŒndig: Ein extra eingerichteter FTP Zugang wurde zu dieser Zeit genutzt um einige Dateien zu modifizieren. Nun hatte ich auch die IP Adresse des Angreifers (diese wird im Logfile gespeichert). Laut ip locator sitzt der Angreifer ĂŒbrigens im kĂŒhlen Minnesota in den USA.
NatĂŒrlich sperrte ich den betroffenen FTP Zugang umgehend.
RachegelĂŒste?
Klar hĂ€tte ich die Geschichte auf sich beruhen lassen können, aber da war noch irgendetwas. Irgendetwas das sich zur Wehr setzen wollte. Wer mir an dieser Stelle erzĂ€hlen will, er hĂ€tte nicht die geringsten RachegelĂŒste gehabt, mĂŒsste schon Pfarrer der katholischen Kirche sein.
Ich hatte das GefĂŒhl, dass ich etwas tun musste – egal was. Nun muss man wissen, dass ich hier im tiefsten Oberbayern ca. 60km entfernt von MĂŒnchen wohne: Beim Anruf auf dem nĂ€chsten Polizeirevier sagte mir eine unmotivierte Stimme, dass ich doch jederzeit vorbeikommen könne. Mit meinem iPhone und dem Logfile sowie der IP Adresse des Kollegen aus Amerika im Gepack fuhr ich also zum PolizeiprĂ€sidium Ebersberg.
Nachdem ich meine Geschichte am Empfang kurz angerissen hatte, erklĂ€rte mir der Polizist am Empfang, dass ich mich so lange gedulden mĂŒsse, bis ein fĂ€higer Kollege (mit Computerschulung) zu mir kĂ€me. So lange dĂŒrfe ich auf einem Stuhl im Empfangsbereich Platz nehmen.
Nach ca. 10 Minuten holte mich ein weiterer Polizist (vermutlich Mitte 50) von meinem Platz ab und fĂŒhrte mich in sein BĂŒro. Ein weiterer Kollege war mit „Computer-Tipp-Arbeit“ beschĂ€ftigt.
An dieser Stelle fĂ€llt mir eine Situationsbeschreibung sehr schwer; ich selbst schwankte wĂ€hrend meinen AusfĂŒhrungen zwischen Hilflosigkeit, Resignation, Wut und Schmunzeln: Nachdem ich 10 Minuten vergebens versucht hatte, zu erklĂ€ren, dass es sich bei meinem Problem nicht um einen Virus auf meinem Computer zu Hause handelt, den ich mir irgendwo eingefangen hatte, wollte man mich mit einem „Es ist doch kein Schaden entstanden“ abspeisen. Meine HartnĂ€ckigkeit fĂŒhrte jedoch zu einem Telefonat mit einem „It-ler“ aus einem anderen PrĂ€sidium und ab diesem Zeitpunkt kam etwas mehr Licht in die Sache. Ich durfte sogar selbst mit diesem netten Herren telefonieren, und was soll ich sagen, wir sprachen die gleiche Sprache đ
Im Anschluss nahm der erste Beamte meine „Anzeige gegen Unbekannt“ auf und ich bildete mir ein, dass er zum Schluss verstanden hatte, was das Problem war.
Mit einem guten GefĂŒhl konnte ich nach einer Stunde das PrĂ€sidium verlassen, auch wenn der Ausgang dieser Geschichte noch offen ist…
Was werde ich als nÀchstes tun?
Als nĂ€chstes sind alle befallenen Dateien zu sĂ€ubern und die Seite wieder online zu bringen. Dann muss ich Firefox und Google noch beibringen, dass die Webseite keinen Schadcode mehr ausliefert…
Ăbrigens habe ich beschlossen, dass ich die FTP ZugĂ€nge kĂŒnftig besser verwalten werde: Benutzernamen werden kryptischer, nicht genutzte Benutzer werden entfernt, bestehende FTP ZugĂ€nge werden auf das Nötigste begrenzt.
To be continued…
Wie geht es jetzt weiter? Das LKA sollte sich in den nĂ€chsten Tagen bei mir melden und das Logfile einfordern – ich bin gespannt…
Ich bin mir ĂŒbrigens nicht sicher, ob die amerikanischen Behörden sich fĂŒr derlei deutsche Anliegen interessieren, aber ich hoffe es wirklich. Wer austeilen kann, muss auch einstecken können!
Was meint ihr zu dieser Geschichte?
Links zum Thema
WĂŒnsche euch ein schönes und hackerfreies Wochenende,
Alex