[[ Eddy_BAck0o ]] pOwNeD mY bOx

Am Abend des 4. Mai wurde mein Webhosting-Account „gehackt“ und ein Defacement der meisten der von mir gehosteten Domains vorgenommen.

Nach meiner Untersuchung des Falls ergibt sich folgendes Bild:

Um 19:39:16 Uhr klickt der Defacer, der sich „Eddy_BAck0o“ nennt, auf ein Suchergebnis auf Seite 23, nachdem er bei Google Jordanien folgenden Suchbegriff eingegeben hat: Invision Power Board +v2.1.5 inurl:"org". Er scheint des arabischen mächtig zu sein, denn die Ausgabesprache von Google ist auf arabisch eingestellt (ok, ist ja auch google.jo). Dennoch nutzte Eddy einen PC mit einem us-amerikanischen Windows XP, wie mir die Browser-Signatur seines Firefox verrät.

Seine IP-Adresse lässt sich von mir auf Anhieb nicht näher lokalisieren, sie ist direkt dem RIPE Network Coordination Centre mit Sitz in Amsterdam zugeordnet.

Der Suchbegriff lieferte ihm alle Foren mit der Invision-Software, die bei der letzten Google-Indizierung noch auf Version 2.1.5 liefen, und den URL-Bestandteil „org“ haben. Darunter fiel auch das Forum von Amerikanistik.org. Dort angekommen registrierte er sich gleich mit dem Namen aaaaa unter Verwendung einer E-Mailadresse bei Hotmail.com. Anschließend klickte er auf das erste Thema unter ‚Latest Discussions‘ und verfasste eine Antwort, die bestimmten Code enthielt, welchen er gleich darauf für eine SQL Injection in der Suchfunktion des Forums nutzte. Um den Beitrag zu finden, verwendete er das Stichwort „thothoeval“ im Text. Der eigentliche schadhafte Code wurde in die URL der Suchergebnisseite über einen manuell hinzugefügten Parameter „lastdate“ eingeschleust. Eddy editierte den Beitrag nach dieser Aktion, ersetzte ihn durch einen plakativen Kommentar bezüglich des Fachschafts-Logos (s. Link weiter oben) und verschleierte so sein Vorgehen.

Über die SQL Injection gelang es ihm, ein PHP-Skript namens „r57shell“ in Version 1.23 zu installieren. Um seine Spuren zu verwischen benannte er das Skript geschickt um und legte es in einem unverdächtigen Ordner ab. Im Logfile treten nämlich ab diesem Zeitpunkt nur noch auf den ersten Blick harmlose Aufrufe einer Hilfeseite aus dem Forums-Cache auf. Erst als ich einen Blick auf diese URL warf, konnte ich das Tool entlarven. Mithilfe dieses Tools, das eine HTML-Oberfläche zur Manipulation des Webspace zur Verfügung stellt, konnte Eddy nun per WebFTP seine manipulierten Startseiten in die Hauptverzeichnisse der Domains ablegen. Freundlicherweise legte er dabei lediglich neue „index.html“-Dateien ab und ließ die vorhandenen „index.php“-Seiten unberührt. Mir kam zugute, dass die index.html Vorrang vor der index.php hat und ich ausschließlich index.php-Seiten verwende. So war es dann einfach für ihn, sein Defacement vorzunehmen, und einfach für mich, es wieder zu entfernen. Nur bei der alphanummerisch ersten Domain machte er sich die Mühe und ersetzte die index.php-Seite ebenfalls.

Nach jedem Ablegen der Index-Seite hat er seine Tat in der Defacement-Datenbank von zone-h eingetragen, welche daraufhin automatisiert mit einem Perl-Skript einen Abzug des Defacements machte und zum Datenbankeintrag der jeweiligen Domain hinterlegte. Die Defacements nahm er der Reihe nach vor und kontrollierte die Seite stets vorher und nachher, manchmal öffnete er zuvor noch ein, zwei Links der Sites.

Um 20:10:31 Uhr wurde die letzte Aktivität seiner IP-Adresse verzeichnet.

Ich vermute, Eddy ist entweder ein jordanisches Skriptkiddie, das nach offiziellen (Domain-Endung .org) Foren gesucht hat, welche USA-affin aussehen, um seinen Unmut über Islam-verachtende Politik zu äußern. Das Amerikanistik-Forum hat eine patriotisch wirkende Optik und deswegen seine Aufmerksamkeit erregt. Der Text seiner Seite legt eine entsprechende Ideologie nahe:

dENmARk !! YOU FUCKED UPPPPPPPP !!

LONG LIVE MUSLIMMMMMMMS AND SHo0tz DA BITCHES SERVERSSSSS DOWN !!

Oder es war ein Skriptkiddie (Kiddie wegen des verwendeten Leetspeak), das mir Glauben machen will, er käme aus Jordanien, und sendet lediglich Grüße an seine Kumpels nEt_dEvil, ReD DeVils CreW, Triad, OutLaW, BiyoSecurityTeaM und TheHacker. Mir fehlt noch ein aussagekräftigeres Ergebnis des IP-Trace, um das mit größerer Wahrscheinlichkeit sagen zu können.

Dass auch die anderen von mir verwalteten Domains in Mitleidenschaft gezogen wurden, war wohl nur ein Ausnutzen der Gelegenheit, weil Eddy eben auch auf diese Zugriff erlangte.

Zone-h gibt vor, mit ihrer Arbeit Druck auf Administratoren auszuüben, ihre verwendete Software stets aktuell zu halten, beziehungsweise die Softwarehersteller dazu zu bewegen, bekannte Sicherheitslücken ihrer Produkte schnellstens zu beheben. Ich glaube nicht so recht, dass zone-h mit ihrer Datenbank dieses Ziel erreicht, sondern befürchte, dass die zu einem Ranking für Skriptkiddies verkommt, die sich damit brüsten, möglichst viele Websites manipuliert zu haben. Das legt zum Beispiel auch diese Meldung nahe. Andererseits können sie so schöne Statistiken anfertigen und präsentieren (PDF).

Ich habe die Gelegenheit genutzt und diverse Skripte aktualisiert, einige veraltete Test-Sites gelöscht, und diverse Passwörter geändert. Ein großes Lob an den Support meines Hosting-Providers domain)factory – die wie immer sehr umfangreich und prompt auf meine Supportanfrage reagiert haben. Fein ist auch, dass ihre Hotline kostenlos erreichbar ist. Mal sehen, wann Invision auf meinen Hinweis bezüglich der Sicherheitslücke in der Suchfunktion der Forensoftware reagiert.*

An dieser Stelle nochmal ein dickes Dankeschön an die Leute, die mich auf das Defacement hingewiesen haben – namentlich Juliane, Torsten, Rudi und Botsch, sowie Barbara und Eva im Forum. Ich habe die Mails und Anrufe gestern vormittag gelesen und gehört, war aber zu beschäftigt, um jedem einzelnen zu antworten. Und schön zu sehen, dass mein Blog auch regelmäßig besucht wird. :)

*Ergänzung: ich hab mich beim ersten Kontaktieren vertan und die Anfrage gar nicht abgeschickt. Beim zweiten Versuch hatte ich innerhalb von 6 Minuten die Antwort, dass die Sicherheitslücke bereits mit dem 8 Stunden vor dem Hack veröffentlichten Patch behoben wurde. Beim nächsten Mal muss ich also einfach schneller reagieren…

Flattr this!


8 Responses to “[[ Eddy_BAck0o ]] pOwNeD mY bOx”

  • botsch Says:

    Mann,
    das liest sich ja wie eine Kriminalgeschichte! ;-)
    Zum Glück konntest Du alles wieder in Ordnung bringen und nichts ist für immer verloren. Aber echt ärgerlich, dass man zwar genau nachvollziehen kannst, wie der Hack abgelaufen ist, aber doch relativ hilflos bei der Aufspürung des Verusrsachers ist bzw. kann das ja wieder einmal passieren.
    Ich weiß echt nicht, wie blöd man im Hirn sein muss, dass man Spaß an solchem Vandalismus haben kann…
    Grüße

  • ursi Says:

    hey,

    gesehen hab ichs auch, aber nachdem ich wusste, dass die fa-homepage feierlich übergeben wurde und du noch dazu beim dokfest auf der blckparty am start warst, hab ich das mit dem melden gelassen. aber als ich um kurz nach neun heimgekommen bin und meinen firefox mit der amerikanistik.org-startseite aufgemacht hab, hab ich mich auch gewundert. siehst ja, kaum gibt man was her – gehts den bach runter. oder so ähnlich ;-)
    und: hätte ich genauer aufgepasst, wäre ich mit zur blockparty. damn it. liebe grüße!

  • Torsten Says:

    Kriminalgeschichte trifft’s, CSI – WWW gibt’s ja (noch) nicht ;)

    Zum Glück ist jetzt da wieder alles in Ordnung, Inspektor Flycs.

  • Rudolf Says:

    Die 36 Höllen-Hacker der Shaolin hatten letzten Endes keine Chance gegen den ONE ARMED SWORD COUNTER HACKER.

    Für Gerechtigkeit, Inderst

  • arhaby16 Says:

    loooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooool

    Damn this site has been hacked loooooooooooooooooooooooooooooooooooooooooooool

    where is security ??!!?

    MMMMMMMmmmmmmmmmmmmmmmm ok

    all join to this web site , this site has been hacked looooooooool

    http://www.itsecurityhome.com

    bye bye Fuck off .Dk

  • Julius Says:

    Wenn die IP dem RIPE zugeordnet ist, bietet es sich an, doch mal beim RIPE nachzuschauen, wer für die IP zuständig ist:

    http://ripe.net/fcgi-bin/whois?searchtext=86.108.83.236

    inetnum: 86.108.83.0 – 86.108.83.255
    netname: JOSPRINT
    descr: Jordan Data Communication Ltd.
    country: JO
    admin-c: NA431-RIPE
    tech-c: CS2792-RIPE
    status: ASSIGNED PA „status:“ definitions
    mnt-by: GO-JOR
    mnt-lower: GO-JOR
    mnt-routes: GO-JOR
    source: RIPE # Filtered

  • Felix Says:

    Vielen Dank, Julius! Die Suche des RIPE kannte ich noch nicht. Damit ist klar, dass Eddy von Jordanien aus aktiv war. Ein „Bekannter“ von Eddy aus Palästina namesn „Arhaby16“ hat hier übrigens auch schon vorbeigeschaut und einen Kommentar hinterlassen, welcher noch in der Moderation Queue sitzt…

  • Josua Says:

    Auf http://www.winboard.org war der selbe Hacker. :(

Leave a Reply