Seite wieder da

Schonungslose Offenheit ist ja generell was schönes - dieses Mal ist mir das allerdings recht unangenehm ... Kurz und knapp: Ich habe mir einen Trojaner eingefangen, der die Zugangsdaten zur Webseite ausgelesen und mißbraucht hat.

Was ist passiert? 

Sämtliche index.php- und index.html-Dateien auf dem Server wurden um einen unsichtbaren iFrame erweitert. In diesem Frame lief dann ein Javascript, das versucht hat, im Hintergrund Schadsoftware herunterzuladen und auf dem Computer des Besuchers zu installieren. Egal welche Unterseite sie hier besucht haben - dieses Script wurde geladen.

Wie ist das passiert? 

In einem ersten Schritt wurden mit an Sicherheit grenzender Wahrscheinlichkeit die FTP-Zugangsdaten von meinem Privatrechner kopiert, über den ich diese Seite administriere. Ob ein Trojaner die Konfigurationsdatei des FTP-Clients kopiert oder den Netzwerkverkehr gesnifft hat, kann ich nicht sagen. 

Diese Zugangsdaten wurden zwischen 14:26:32 und 14:26:42 benutzt, um einige Dutzend Dateien von dem FTP-Server herunter- und infiziert wieder hochzuladen.

Eine knappe Stunde danach wurde die Infektion (bzw. ein Symptom davon) von einem Redakteur entdeckt, und die Seite kurz danach vom Netz genommen.

Die Art des Angriffs legt nahe, dass weder der Server selbst, noch die Datenbank des Content-Management-Systems kompromittiert wurde. "Lediglich" einige wichtige System-Dateien wurden modifiziert. Es wurde keine Sicherheitslücke auf dem Webserver ausgenutzt, sondern eine auf meinem Computer.  

Maßnahmen 

  • Die modifizierten Dateien wurden gelöscht, und durch die ursprünglichen ersetzt.
  • Die Zugangsdaten wurden (von einem sauberen Rechner aus) geändert.
  • Das Betriebssystem des ursprünglich infizierten Computers wurde komplett gelöscht ("Format c:") und neu installiert.

Ich gehe davon aus, dass durch diese Maßnahmen die Sicherheit auf dieser Seite wieder hergestellt ist. 

Was Sie überprüfen sollten 

Falls Sie die Seite am Sonntag nach 14:25 Uhr besucht haben, und die Seite dabei "ganz normal" aussah (also nicht die offline-Meldung), sind sie potentiell betroffen. Sie sollten ihr System auf Schadsoftware testen und diese entfernen. Wenn Sie ganz sicher gehen wollen, hilft nur ein Formatieren des betroffenen Rechners.

Bei einem lokalen Test bei mir wurde ein Stück Schadsoftware nachgeladen, das den Computer "wegen illegaler Aktivitäten" gesperrt und zur Entsperrung Lösegeld gefördert hat.

Ich bitte Sie, die Unannehmlichkeiten zu entschuldigen. 

(Daniel Gaußmann) 

Zurück