Das war vielleicht ein Schreck heute Abend. Eigentlich war ich schon fürs Inline-Skaten angezogen und wollte gerade durch die Wohnungstür, als ich noch ein Quaken im Hintergrund höre. Nun gut, wer schreibt mir denn was bei ICQ? Isabell bittet mich, doch mal auf ihre Internetseite zu gucken, da würde wohl etwas nicht zu stimmen! Etwas ist gut, denn die Seite sah ganz und gar nicht normal aus:

Normaler Weise kommt Isabells Seite ja eher weiß-türkis daher, heute Abend bot sich dem Besucher jedoch ein ganz anderer Anblick. Isabells Seite wurde offenbar gehackt. Jetzt galt es also zu erst den Originalzustand wiederherzustellen und danach herauszufinden, wo die Schwachstelle lag. Die Wiederherstellung ging relativ einfach über FTP. Dort wo sonst die Index-Datei von WordPress sein sollte, waren eine Handvoll anderer Dateien (index.htm, index.html, default.htm, default,html, index.php). Diese Dateien enthielten alle den gleichen Quellcode und sollten damit sicherstellen, dass in jedem Fall die gehackte Seite angezeigt werden würde.
Die alte WordPress-Indexdatei lies sich per FTP wieder hochladen und der Blog war damit sofort wieder einsatzbereit. Die WordPressinstallation war also in keiner Weise in Mitleidenschaft gezogen worden. Woher hat der Hacker also die Zugangsdaten für die Internetseite? Die Zeitstempel der falschen Dateien zeigte 17. August 2009 15:39 Uhr und 15:40 Uhr an. Leider konnte ich auf dem Servage-Server keine Logs finden und somit auch keinen Anhaltspunkt über die Schwachstelle.
Sollte der Servereinbruch denn wirklich über kompromittierte Zugangsdaten möglich gewesen sein? Ich löcherte Isabell also, wann und wo sie sich denn auf ihren FTP-Server einwählte und ob die womöglich ein Standardpasswort verwendet. Nichts davon traf zu und außerdem hatte sie den FTP-Server nicht mehr genutzt, seitdem WordPress automatische Aktualisierungen anbietet. Die WordPress-Installation war auch auf dem neusten Stand.
Während Isabell ihrem Provider Servage eine E-Mail schrieb, um über den Einbruch zu berichten und nach den Serverlogs für den heutigen Tag zu fragen, führte ich eine Suche nach IP-Nachbarn durch. IP-Nachbarn sind Internetseiten die auf dem gleichen Server laufen und daher die gleiche IP haben. Das Ergebnis: alle auf Isabells Server vorhandenen Seiten waren gehackt worden!
Der Fehler lag also weder in einem zu einfachen Passwort oder gar einer Schwachstelle in WordPress, der Provider Servage hat offensichtlich den Einbruch selbst verschuldet! Auf so eine Idee muss man erst mal kommen!