Internetseite gehackt? Dabei war WordPress doch immer aktualisiert worden!
Das war vielleicht ein Schreck heute Abend. Eigentlich war ich schon fürs Inline-Skaten angezogen und wollte gerade durch die Wohnungstür, als ich noch ein Quaken im Hintergrund höre. Nun gut, wer schreibt mir denn was bei ICQ? Isabell bittet mich, doch mal auf ihre Internetseite zu gucken, da würde wohl etwas nicht zu stimmen! Etwas ist gut, denn die Seite sah ganz und gar nicht normal aus:
Normaler Weise kommt Isabells Seite ja eher weiß-türkis daher, heute Abend bot sich dem Besucher jedoch ein ganz anderer Anblick. Isabells Seite wurde offenbar gehackt. Jetzt galt es also zu erst den Originalzustand wiederherzustellen und danach herauszufinden, wo die Schwachstelle lag. Die Wiederherstellung ging relativ einfach über FTP. Dort wo sonst die Index-Datei von WordPress sein sollte, waren eine Handvoll anderer Dateien (index.htm, index.html, default.htm, default,html, index.php). Diese Dateien enthielten alle den gleichen Quellcode und sollten damit sicherstellen, dass in jedem Fall die gehackte Seite angezeigt werden würde.
Die alte WordPress-Indexdatei lies sich per FTP wieder hochladen und der Blog war damit sofort wieder einsatzbereit. Die WordPressinstallation war also in keiner Weise in Mitleidenschaft gezogen worden. Woher hat der Hacker also die Zugangsdaten für die Internetseite? Die Zeitstempel der falschen Dateien zeigte 17. August 2009 15:39 Uhr und 15:40 Uhr an. Leider konnte ich auf dem Servage-Server keine Logs finden und somit auch keinen Anhaltspunkt über die Schwachstelle.
Sollte der Servereinbruch denn wirklich über kompromittierte Zugangsdaten möglich gewesen sein? Ich löcherte Isabell also, wann und wo sie sich denn auf ihren FTP-Server einwählte und ob die womöglich ein Standardpasswort verwendet. Nichts davon traf zu und außerdem hatte sie den FTP-Server nicht mehr genutzt, seitdem WordPress automatische Aktualisierungen anbietet. Die WordPress-Installation war auch auf dem neusten Stand.
Während Isabell ihrem Provider Servage eine E-Mail schrieb, um über den Einbruch zu berichten und nach den Serverlogs für den heutigen Tag zu fragen, führte ich eine Suche nach IP-Nachbarn durch. IP-Nachbarn sind Internetseiten die auf dem gleichen Server laufen und daher die gleiche IP haben. Das Ergebnis: alle auf Isabells Server vorhandenen Seiten waren gehackt worden!
Der Fehler lag also weder in einem zu einfachen Passwort oder gar einer Schwachstelle in WordPress, der Provider Servage hat offensichtlich den Einbruch selbst verschuldet! Auf so eine Idee muss man erst mal kommen!
einfach-orange.de ist eine Sammlung von Anekdoten, Berichten, Erfahrungen und jeder Menge Geschichten rund um das Studentenleben. MrOrange, der Autor, hat seinen Bachelorabschluss in Geschichte und Anglistik an den Universitäten von Greifswald und Oviedo, Spanien, erworben. Seinen Master in Wirtschafts- und Sozialgeschichte hat er in Göttingen gemacht.
Isa
19:16 am 18. Aug 2009
Sie haben schon reagiert:
Hallo Frau Prophet,
vielen Dank für Ihr Ticket.
Wir möchten uns vielmals für die Unannehmlichkeiten entschuldigen. Offensichtlich gab es in dem von uns genutzten Linux-Kernel eine Sicherheitslücke, die leider gleichzeitig mit dem Patch für den Kernel bekanntgegeben wurde.
Das hat dazu geführt, dass der Angreifer, der Ihre Seite gehackt hat, diesen Fehler hat ausnutzen können, bevor wir unseren Kernel aktualisieren konnten.
Das haben wir aber in der Zwischenzeit getan und unser System sollte wieder komplett sicher sein.
Wir möchten uns vielmals für diesen Vorfall entschuldigen und als kleine Wiedergutmachung, habe ich Ihrem Konto soeben 2 Wochen gratis Hosting gutgeschrieben.
Mit freundlichen Grüßen
. , Support
Servage Hosting
Gut, zwei Wochen sind nicht gerade der Hit :D ansonsten nachvollziehbar, dass sowas passieren kann. Da haben die Linuxe geschlampt *flachpfeiffen*