Blogs gehackt: Angriffe und Viren auf unsere Domain durch jpg.php

Sicherlich wird es der eine oder andere Leser mitbekommen haben, dass es in den letzten Tagen nichts von uns zu lesen gab und viel schlimmer noch eine Fehlermeldung beim Aufruf der URL zu sehen war. Unser Blog oder besser gesagt der ganze Server wurde gehackt und mit Viren und Angriffen bombardiert. Werbung

Man frägt sich wie so etwas passieren kann und vor allem was diese Typen, welche diese Versuche unternehmen davon haben. Heute wollen wir unser Erfahrungen los werden, wie es dazu kam und was alles neu zu machen war.

 

Vorgeschichte: Fehlermeldungen per Email

 

Schon zwei Wochen vor dem eigentlichen Angriff kam es zu Fehlermeldungen. Zum Beispiel wurden immer komische Emails vom Theme des Blogges abgeschickt die auf Dateien hingewiesen haben, welche es gar nicht geben sollte. Diese Dateien hießen immer jpg.php, was eigentlich ja keinen Sinn macht. Auch unser Betreiber konnte sich zuerst keinen Reim darauf machen und es war dann auch wieder alles in Ordnung und voller Funktion, bis plötzlich die Seiten nicht mehr aufrufbar waren. Ich schaute dann auf den Server per FTP und stellte fest, dass die Rechte des HTML Verzeichnissen falsch waren. Diese schnellumgestellt und alles passte wieder. Jetzt aber dann zum eigentlichen Ausfall des Servers und aller Domains.

 

Serverausfall am Sonntagnachmittag mit Forbidden Meldung

 

Los ging es am Sonntagnachmittag mit einer Forbidden Meldung beim Aufruf der URL. Nichts ging mehr. Schnell wollte ich per FTP auf den Server um die Recht zu checken aber auch dies war nicht möglich. Der Zugriff wurde mir nicht gestattet. Was aber jetzt tun?

Da es Sonntag war und mein Provider keinen Wochenende Support hat, blieb nichts anderes übrig als ein Ticket und eine Email zu schreiben. Prompt kam dann auch eine Antwort, dass man sich darum kümmern wird.

Zuerst ging man von einem Fehler im System aus und nicht von einem hack. Was sich aber dann durch die Auswertung der Log Daten zeigte, war klar ein hack und mein Paket wurde vom Server zwangsabgeschaltet. Darum ging auch der FTP Zugriff nicht mehr.

Am Montag ging es dann an die genaue Analyse des Problems und man stellt fest, dass es definitiver Angriff eines Hackers war. Die genaue Ursache wie dieser ins System gekommen war bleibt aber weiterhin fraglich. Die Passwörter wurden von mir immer zeitnah geändert und auch die Blogs sowie Plugins waren alle aktuell.

Irgendwie muss es gelungen sein eine Datei die sich jpg.php genannt hat auf das System zu bringen und diese dann mit Schadcode zu füllen. Der Weg auf den Blog ist aber weiterhin fraglich. Ob es an der Möglichkeit gelegen hat über die Avatar Bilder auf den Blog zu kommen oder wie auch immer. Aktuell ist dies noch nicht klar.

 

Umzug des kompletten Webpaketes

 

Da ich schon lange auf einen neueren Server umsteigen wollte, war dies auch die Gelegenheit dazu. Hier hat erneut der Provider gut unterstützt. Trotzdme war es schwer zuerst die ganzen Daten zu isolieren und nach den Schadcodes zu durchsuchen. Auch ein eventuelles Backup könnte je bereits infiziert sein. Deshalb hieß es zuerst neue Blogs ohne jegliche Einstellungen und Plugins zu installieren. Die Datenbanken konnten soweit einmal gerettet werden und wurden auch übernommen.

Jede Menge Arbeit war es natürlich auch alles wieder zu installieren. Hier hat mir aber der Provider Domain Offensive ein faires Angebot gemacht und immer wieder dafür gesorgt, dass man schnell voran kommt.

 

Woher kam der Angriff überhaupt?

 

Diese Frage lässt sich nicht vollumfänglich prüfen. Aktuell gehen wir über den Weg eines Avatarbildes davon aus, oder aber auch von einer Anmeldung eines Benutzers. Der Schadcode wurde somit ins System geschleust.

Immer wieder viel der Verdacht aber auch auf ein Plugin welches Facebook und Twitter Buttons in den Blog bringt. Auch hier konnten wir sofort nach Neuinstallation des Plugin wieder einen Angriff verzeichnen. Es muss es aber nicht sein, nur der Auslöser könnte von dort kommen. Der Schadcode nistete sich in allen Verzeichnissen ein, so dass auch eine Reinigung für den Provider recht schwer war.

In der Zwischenzeit scheint alles wieder zu laufe, leider gab es aber durch den fast 5 tägigen Ausfall Abstufungen bei Google.

 

Was sagt Google beim Ausfall einer Domain?

 

Diese Frage haben auch wir uns gestellt, denn bei einem Ausfall von so einer langen Zeit ist es gut möglich, dass Google einen aus dem Index wirft. Bei nur ein paar Stunden passiert meistens nichts.

Bei uns gab es aber entsprechende Verluste. Viele Keywörter sind komplett aus dem Ranking gefallen und auch ganze Seiten nicht mehr zu finden. Wir hoffen aber, dass Google ab und an wieder vorbeischaut und somit auch die URLs wieder neu indiziert und das alte Ranking herstellen wird.

Überprüfen kann man dies recht gut mit Hilfe der Webmastertools. Dort sieht man zum einen die 403 Fehlermeldung Forbidden aber dann auch Fehlermeldungen 404 wo die Seite nicht mehr gefunden wurde. Zwar hat auch hier Domain Offensive schnell einen Fehlerseite mit dem Code 500 eingestellt, aber Google hat trotzdem Konsequenzen aus diesem Hack gezogen.

 

Was lernen wir aus der ganzen Aktion?

 

Vor allem sollte man sich immer gut überlegen welche Plugins man benötigt und welche man lieber weglässt. Hier gilt, je weniger je besser. Auch die Passwörter von Datenbanken und Blogs selber, sowie auch dem FTP Zugang sollten immer wieder geändert werden.

Auch die Datensicherung ist wichtig. Hier gilt es aber nicht nur die Dateien zu sichern, sondern auch die Datenbanken.

Letztendlich hat dies aber alles nichts genutzt. Man sollte vor allem bei den ersten Anzeichen eines Angriffes versuchen die Ursache zu finden. Schnell reagieren ist hier wichtig. Schnell mal alle Plugins deinstallieren oder aber auch sich an den Provider zu wenden, der in den meisten Fällen einem helfen kann. Auch sollte man sich klar sein, dass viele Benutzer auf dem Blog die Sache nicht einfach machen. Lieber einmal mehr Vorsichtig sein wie einmal zu wenig.

Wir sind gespannt wie es in Sachen Google weiter geht. Abschließend auch nochmal der Dank an Domain Offensive (do.de) die uns immer geholfen haben, wenn es auch nicht so einfach war.

Wie sind eure Erfahrungen mit Angriffen und Hackern? Hattet ihr bisher Glück? Und wie haben sich bei euch die Probleme wieder gelöst.