Am Abend des 4. Mai wurde mein Webhosting-Account “gehackt” und ein Defacement der meisten der von mir gehosteten Domains vorgenommen.
Nach meiner Untersuchung des Falls ergibt sich folgendes Bild:
Um 19:39:16 Uhr klickt der Defacer, der sich “Eddy_BAck0o” nennt, auf ein Suchergebnis auf Seite 23, nachdem er bei Google Jordanien folgenden Suchbegriff eingegeben hat: Invision Power Board +v2.1.5 inurl:"org". Er scheint des arabischen mächtig zu sein, denn die Ausgabesprache von Google ist auf arabisch eingestellt (ok, ist ja auch google.jo). Dennoch nutzte Eddy einen PC mit einem us-amerikanischen Windows XP, wie mir die Browser-Signatur seines Firefox verrät.
Seine IP-Adresse lässt sich von mir auf Anhieb nicht näher lokalisieren, sie ist direkt dem RIPE Network Coordination Centre mit Sitz in Amsterdam zugeordnet.
Der Suchbegriff lieferte ihm alle Foren mit der Invision-Software, die bei der letzten Google-Indizierung noch auf Version 2.1.5 liefen, und den URL-Bestandteil “org” haben. Darunter fiel auch das Forum von Amerikanistik.org. Dort angekommen registrierte er sich gleich mit dem Namen aaaaa unter Verwendung einer E-Mailadresse bei Hotmail.com. Anschließend klickte er auf das erste Thema unter ‘Latest Discussions’ und verfasste eine Antwort, die bestimmten Code enthielt, welchen er gleich darauf für eine SQL Injection in der Suchfunktion des Forums nutzte. Um den Beitrag zu finden, verwendete er das Stichwort “thothoeval” im Text. Der eigentliche schadhafte Code wurde in die URL der Suchergebnisseite über einen manuell hinzugefügten Parameter “lastdate” eingeschleust. Eddy editierte den Beitrag nach dieser Aktion, ersetzte ihn durch einen plakativen Kommentar bezüglich des Fachschafts-Logos (s. Link weiter oben) und verschleierte so sein Vorgehen.
Über die SQL Injection gelang es ihm, ein PHP-Skript namens “r57shell” in Version 1.23 zu installieren. Um seine Spuren zu verwischen benannte er das Skript geschickt um und legte es in einem unverdächtigen Ordner ab. Im Logfile treten nämlich ab diesem Zeitpunkt nur noch auf den ersten Blick harmlose Aufrufe einer Hilfeseite aus dem Forums-Cache auf. Erst als ich einen Blick auf diese URL warf, konnte ich das Tool entlarven. Mithilfe dieses Tools, das eine HTML-Oberfläche zur Manipulation des Webspace zur Verfügung stellt, konnte Eddy nun per WebFTP seine manipulierten Startseiten in die Hauptverzeichnisse der Domains ablegen. Freundlicherweise legte er dabei lediglich neue “index.html”-Dateien ab und ließ die vorhandenen “index.php”-Seiten unberührt. Mir kam zugute, dass die index.html Vorrang vor der index.php hat und ich ausschließlich index.php-Seiten verwende. So war es dann einfach für ihn, sein Defacement vorzunehmen, und einfach für mich, es wieder zu entfernen. Nur bei der alphanummerisch ersten Domain machte er sich die Mühe und ersetzte die index.php-Seite ebenfalls.
Nach jedem Ablegen der Index-Seite hat er seine Tat in der Defacement-Datenbank von zone-h eingetragen, welche daraufhin automatisiert mit einem Perl-Skript einen Abzug des Defacements machte und zum Datenbankeintrag der jeweiligen Domain hinterlegte. Die Defacements nahm er der Reihe nach vor und kontrollierte die Seite stets vorher und nachher, manchmal öffnete er zuvor noch ein, zwei Links der Sites.
Um 20:10:31 Uhr wurde die letzte Aktivität seiner IP-Adresse verzeichnet.
Ich vermute, Eddy ist entweder ein jordanisches Skriptkiddie, das nach offiziellen (Domain-Endung .org) Foren gesucht hat, welche USA-affin aussehen, um seinen Unmut über Islam-verachtende Politik zu äußern. Das Amerikanistik-Forum hat eine patriotisch wirkende Optik und deswegen seine Aufmerksamkeit erregt. Der Text seiner Seite legt eine entsprechende Ideologie nahe:
dENmARk !! YOU FUCKED UPPPPPPPP !!
LONG LIVE MUSLIMMMMMMMS AND SHo0tz DA BITCHES SERVERSSSSS DOWN !!
Oder es war ein Skriptkiddie (Kiddie wegen des verwendeten Leetspeak), das mir Glauben machen will, er käme aus Jordanien, und sendet lediglich Grüße an seine Kumpels nEt_dEvil, ReD DeVils CreW, Triad, OutLaW, BiyoSecurityTeaM und TheHacker. Mir fehlt noch ein aussagekräftigeres Ergebnis des IP-Trace, um das mit größerer Wahrscheinlichkeit sagen zu können.
Dass auch die anderen von mir verwalteten Domains in Mitleidenschaft gezogen wurden, war wohl nur ein Ausnutzen der Gelegenheit, weil Eddy eben auch auf diese Zugriff erlangte.
Zone-h gibt vor, mit ihrer Arbeit Druck auf Administratoren auszuüben, ihre verwendete Software stets aktuell zu halten, beziehungsweise die Softwarehersteller dazu zu bewegen, bekannte Sicherheitslücken ihrer Produkte schnellstens zu beheben. Ich glaube nicht so recht, dass zone-h mit ihrer Datenbank dieses Ziel erreicht, sondern befürchte, dass die zu einem Ranking für Skriptkiddies verkommt, die sich damit brüsten, möglichst viele Websites manipuliert zu haben. Das legt zum Beispiel auch diese Meldung nahe. Andererseits können sie so schöne Statistiken anfertigen und präsentieren (PDF).
Ich habe die Gelegenheit genutzt und diverse Skripte aktualisiert, einige veraltete Test-Sites gelöscht, und diverse Passwörter geändert. Ein großes Lob an den Support meines Hosting-Providers domain)factory – die wie immer sehr umfangreich und prompt auf meine Supportanfrage reagiert haben. Fein ist auch, dass ihre Hotline kostenlos erreichbar ist. Mal sehen, wann Invision auf meinen Hinweis bezüglich der Sicherheitslücke in der Suchfunktion der Forensoftware reagiert.*
An dieser Stelle nochmal ein dickes Dankeschön an die Leute, die mich auf das Defacement hingewiesen haben – namentlich Juliane, Torsten, Rudi und Botsch, sowie Barbara und Eva im Forum. Ich habe die Mails und Anrufe gestern vormittag gelesen und gehört, war aber zu beschäftigt, um jedem einzelnen zu antworten. Und schön zu sehen, dass mein Blog auch regelmäßig besucht wird. :)
*Ergänzung: ich hab mich beim ersten Kontaktieren vertan und die Anfrage gar nicht abgeschickt. Beim zweiten Versuch hatte ich innerhalb von 6 Minuten die Antwort, dass die Sicherheitslücke bereits mit dem 8 Stunden vor dem Hack veröffentlichten Patch behoben wurde. Beim nächsten Mal muss ich also einfach schneller reagieren…
Am Abend des 4. Mai wurde mein Webhosting-Account "gehackt" und ein Defacement der meisten der von mir gehosteten Domains vorgenommen.
Nach meiner Untersuchung des Falls ergibt sich folgendes Bild:
Um 19:39:16 Uhr klickt der Defacer, der sich "Eddy_BAck0o" nennt, auf ein Suchergebnis auf Seite 23, nachdem er bei Google Jordanien folgenden Suchbegriff eingegeben hat: Invision Power Board +v2.1.5 inurl:"org". Er scheint des arabischen mächtig zu sein, denn die Ausgabesprache von Google ist auf arabisch eingestellt (ok, ist ja auch google.jo). Dennoch nutzte Eddy einen PC mit einem us-amerikanischen Windows XP, wie mir die Browser-Signatur seines Firefox verrät.
Seine IP-Adresse lässt sich von mir auf Anhieb nicht näher lokalisieren, sie ist direkt dem RIPE Network Coordination Centre mit Sitz in Amsterdam zugeordnet.
Der Suchbegriff lieferte ihm alle Foren mit der Invision-Software, die bei der letzten Google-Indizierung noch auf Version 2.1.5 liefen, und den URL-Bestandteil "org" haben. Darunter fiel auch das Forum von Amerikanistik.org. Dort angekommen registrierte er sich gleich mit dem Namen aaaaa unter Verwendung einer E-Mailadresse bei Hotmail.com. Anschließend klickte er auf das erste Thema unter 'Latest Discussions' und verfasste eine Antwort, die bestimmten Code enthielt, welchen er gleich darauf für eine SQL Injection in der Suchfunktion des Forums nutzte. Um den Beitrag zu finden, verwendete er das Stichwort "thothoeval" im Text. Der eigentliche schadhafte Code wurde in die URL der Suchergebnisseite über einen manuell hinzugefügten Parameter "lastdate" eingeschleust. Eddy editierte den Beitrag nach dieser Aktion, ersetzte ihn durch einen plakativen Kommentar bezüglich des Fachschafts-Logos (s. Link weiter oben) und verschleierte so sein Vorgehen.
Über die SQL Injection gelang es ihm, ein PHP-Skript namens "r57shell" in Version 1.23 zu installieren. Um seine Spuren zu verwischen benannte er das Skript geschickt um und legte es in einem unverdächtigen Ordner ab. Im Logfile treten nämlich ab diesem Zeitpunkt nur noch auf den ersten Blick harmlose Aufrufe einer Hilfeseite aus dem Forums-Cache auf. Erst als ich einen Blick auf diese URL warf, konnte ich das Tool entlarven. Mithilfe dieses Tools, das eine HTML-Oberfläche zur Manipulation des Webspace zur Verfügung stellt, konnte Eddy nun per WebFTP seine manipulierten Startseiten in die Hauptverzeichnisse der Domains ablegen. Freundlicherweise legte er dabei lediglich neue "index.html"-Dateien ab und ließ die vorhandenen "index.php"-Seiten unberührt. Mir kam zugute, dass die index.html Vorrang vor der index.php hat und ich ausschließlich index.php-Seiten verwende. So war es dann einfach für ihn, sein Defacement vorzunehmen, und einfach für mich, es wieder zu entfernen. Nur bei der alphanummerisch ersten Domain machte er sich die Mühe und ersetzte die index.php-Seite ebenfalls.
Nach jedem Ablegen der Index-Seite hat er seine Tat in der Defacement-Datenbank von zone-h eingetragen, welche daraufhin automatisiert mit einem Perl-Skript einen Abzug des Defacements machte und zum Datenbankeintrag der jeweiligen Domain hinterlegte. Die Defacements nahm er der Reihe nach vor und kontrollierte die Seite stets vorher und nachher, manchmal öffnete er zuvor noch ein, zwei Links der Sites.
Um 20:10:31 Uhr wurde die letzte Aktivität seiner IP-Adresse verzeichnet.
Ich vermute, Eddy ist entweder ein jordanisches Skriptkiddie, das nach offiziellen (Domain-Endung .org) Foren gesucht hat, welche USA-affin aussehen, um seinen Unmut über Islam-verachtende Politik zu äußern. Das Amerikanistik-Forum hat eine patriotisch wirkende Optik und deswegen seine Aufmerksamkeit erregt. Der Text seiner Seite legt eine entsprechende Ideologie nahe:
dENmARk !! YOU FUCKED UPPPPPPPP !!
LONG LIVE MUSLIMMMMMMMS AND SHo0tz DA BITCHES SERVERSSSSS DOWN !!
Oder es war ein Skriptkiddie (Kiddie wegen des verwendeten Leetspeak), das mir Glauben machen will, er käme aus Jordanien, und sendet lediglich Grüße an seine Kumpels nEt_dEvil, ReD DeVils CreW, Triad, OutLaW, BiyoSecurityTeaM und TheHacker. Mir fehlt noch ein aussagekräftigeres Ergebnis des IP-Trace, um das mit größerer Wahrscheinlichkeit sagen zu können.
Dass auch die anderen von mir verwalteten Domains in Mitleidenschaft gezogen wurden, war wohl nur ein Ausnutzen der Gelegenheit, weil Eddy eben auch auf diese Zugriff erlangte.
Zone-h gibt vor, mit ihrer Arbeit Druck auf Administratoren auszuüben, ihre verwendete Software stets aktuell zu halten, beziehungsweise die Softwarehersteller dazu zu bewegen, bekannte Sicherheitslücken ihrer Produkte schnellstens zu beheben. Ich glaube nicht so recht, dass zone-h mit ihrer Datenbank dieses Ziel erreicht, sondern befürchte, dass die zu einem Ranking für Skriptkiddies verkommt, die sich damit brüsten, möglichst viele Websites manipuliert zu haben. Das legt zum Beispiel auch diese Meldung nahe. Andererseits können sie so schöne Statistiken anfertigen und präsentieren (PDF).
Ich habe die Gelegenheit genutzt und diverse Skripte aktualisiert, einige veraltete Test-Sites gelöscht, und diverse Passwörter geändert. Ein großes Lob an den Support meines Hosting-Providers domain)factory - die wie immer sehr umfangreich und prompt auf meine Supportanfrage reagiert haben. Fein ist auch, dass ihre Hotline kostenlos erreichbar ist. Mal sehen, wann Invision auf meinen Hinweis bezüglich der Sicherheitslücke in der Suchfunktion der Forensoftware reagiert.*
An dieser Stelle nochmal ein dickes Dankeschön an die Leute, die mich auf das Defacement hingewiesen haben - namentlich Juliane, Torsten, Rudi und Botsch, sowie Barbara und Eva im Forum. Ich habe die Mails und Anrufe gestern vormittag gelesen und gehört, war aber zu beschäftigt, um jedem einzelnen zu antworten. Und schön zu sehen, dass mein Blog auch regelmäßig besucht wird. :)
*Ergänzung: ich hab mich beim ersten Kontaktieren vertan und die Anfrage gar nicht abgeschickt. Beim zweiten Versuch hatte ich innerhalb von 6 Minuten die Antwort, dass die Sicherheitslücke bereits mit dem 8 Stunden vor dem Hack veröffentlichten Patch behoben wurde. Beim nächsten Mal muss ich also einfach schneller reagieren...
