In den frühen Morgenstunden des heutigen Tages wurde der Server, auf dem unser geliebtes Supernature-Forum läuft, von bösen Hackern heimgesucht. Dabei gelang es den Angreifern, Schadcode in die Webseite einzuschleusen. Über die Folgen und die getroffenen Maßnahmen möchte ich Euch hiermit informieren.
Welche Gefahr bestand?
Wo es nichts schön zu reden gibt, soll man das gar nicht erst versuchen, und außerdem ist mir Eure Sicherheit wichtiger als mein Ruf.
Der eingeschleuste Code hat über eine andere, ebenfalls verseuchte Webseite verschiedene Trojaner und Scareware-Programme nachgeladen und versucht, die Computer der Besucher per Drive-by-Download zu infizieren. Und leider ist mir auch mindestens ein Fall bekannt, in dem das erfolgreich war - dabei handelte es sich um das Scareware-Programm "Live Security Platinum".
Jeder, der in der Zeit zwischen ca. 2 Uhr heute morgen und der Abschaltung gegen 11:50 Uhr das Forum besucht hat, sollte dringend eine gründliche Überprüfung seines Systems durchführen!
Wurden persönliche Daten aus der Community gestohlen?
Da die Hacker ins Dateisystem eingedrungen sind, hätten sie auch grundsätzlich Zugriff auf die Datenbank gehabt. Ich gehe allerdings davon aus, dass daran gar kein Interesse bestand - es ging lediglich darum, eine gut besuchte Seite in eine Virenschleuder zu verwandeln. Selbstverständlich sind die Passwörter bei uns verschlüsselt abgespeichert und zusätzlich mit einem zufälligen Salt-Wert geschützt, sie sind also nicht ohne Weiteres zu entschlüsseln.
Weil es unverantwortlich wäre, ein noch so geringes Risiko zu ignorieren, empfehle ich Euch dennoch, das eigene Passwort umgehend zu ändern.
Welche Maßnahmen wurden getroffen?
Ich habe mich gar nicht erst bemüht, die infizierten Dateien zu finden und zu bereinigen, daher wurde die Seite kurzerhand auf den Stand von letzter Nacht zurück gesetzt. Beiträge sind davon nicht betroffen - Anhänge, die seit letzter Nacht hoch geladen wurden, sind allerdings verloren gegangen.
Wichtiger als das Aufräumen ist allerdings die Analyse, um eine Wiederholung dieser Katastrophe zu vermeiden. Glücklicherweise ließ es sich sehr genau ermitteln, wie die verseuchten Dateien auf den Server gespielt wurden. Ich bitte um Verständnis, dass ich auf diesen Punkt nicht im Detail eingehen kann, aber es wurden diverse Maßnahmen getroffen, um eine Wiederholung zu verhindern. Nur so viel: Der Angriff erfolgte über einen Zugang, der mit einem 20stelligen Kennwort gesichert war, welches allen Regeln der Passwort-Kunst entsprach.
Die letzte und 100%ige Sicherheit - das wissen wir alle - kann es nicht geben.
Dieser Vorfall tut mir unendlich leid und ist mir über alle Maßen peinlich. Wer mich kritisieren möchte - nur zu, ich werde es in Demut ertragen. Ihr dürft aber ebenso sicher sein, dass das alles niemanden mehr ärgert als mich selbst.
Vielleicht ist es ein Trost, das wir damit nicht alleine sind - eine andere populäre Webseite hat es ebenfalls erwischt:
Informationen und Stellungnahme zum Angriff auf DrWindows - Dr. Windows
Zu dumm, dass das der selbe Webmaster ist .
(Eventuell erscheint noch die Warnung, wenn man den Link anklickt - das kann unter Umständen noch ein paar Tage so bleiben - so lange, bis Google die Seite neu geprüft und als "sauber" erkannt hat).
Welche Gefahr bestand?
Wo es nichts schön zu reden gibt, soll man das gar nicht erst versuchen, und außerdem ist mir Eure Sicherheit wichtiger als mein Ruf.
Der eingeschleuste Code hat über eine andere, ebenfalls verseuchte Webseite verschiedene Trojaner und Scareware-Programme nachgeladen und versucht, die Computer der Besucher per Drive-by-Download zu infizieren. Und leider ist mir auch mindestens ein Fall bekannt, in dem das erfolgreich war - dabei handelte es sich um das Scareware-Programm "Live Security Platinum".
Jeder, der in der Zeit zwischen ca. 2 Uhr heute morgen und der Abschaltung gegen 11:50 Uhr das Forum besucht hat, sollte dringend eine gründliche Überprüfung seines Systems durchführen!
Wurden persönliche Daten aus der Community gestohlen?
Da die Hacker ins Dateisystem eingedrungen sind, hätten sie auch grundsätzlich Zugriff auf die Datenbank gehabt. Ich gehe allerdings davon aus, dass daran gar kein Interesse bestand - es ging lediglich darum, eine gut besuchte Seite in eine Virenschleuder zu verwandeln. Selbstverständlich sind die Passwörter bei uns verschlüsselt abgespeichert und zusätzlich mit einem zufälligen Salt-Wert geschützt, sie sind also nicht ohne Weiteres zu entschlüsseln.
Weil es unverantwortlich wäre, ein noch so geringes Risiko zu ignorieren, empfehle ich Euch dennoch, das eigene Passwort umgehend zu ändern.
Welche Maßnahmen wurden getroffen?
Ich habe mich gar nicht erst bemüht, die infizierten Dateien zu finden und zu bereinigen, daher wurde die Seite kurzerhand auf den Stand von letzter Nacht zurück gesetzt. Beiträge sind davon nicht betroffen - Anhänge, die seit letzter Nacht hoch geladen wurden, sind allerdings verloren gegangen.
Wichtiger als das Aufräumen ist allerdings die Analyse, um eine Wiederholung dieser Katastrophe zu vermeiden. Glücklicherweise ließ es sich sehr genau ermitteln, wie die verseuchten Dateien auf den Server gespielt wurden. Ich bitte um Verständnis, dass ich auf diesen Punkt nicht im Detail eingehen kann, aber es wurden diverse Maßnahmen getroffen, um eine Wiederholung zu verhindern. Nur so viel: Der Angriff erfolgte über einen Zugang, der mit einem 20stelligen Kennwort gesichert war, welches allen Regeln der Passwort-Kunst entsprach.
Die letzte und 100%ige Sicherheit - das wissen wir alle - kann es nicht geben.
Dieser Vorfall tut mir unendlich leid und ist mir über alle Maßen peinlich. Wer mich kritisieren möchte - nur zu, ich werde es in Demut ertragen. Ihr dürft aber ebenso sicher sein, dass das alles niemanden mehr ärgert als mich selbst.
Vielleicht ist es ein Trost, das wir damit nicht alleine sind - eine andere populäre Webseite hat es ebenfalls erwischt:
Informationen und Stellungnahme zum Angriff auf DrWindows - Dr. Windows
Zu dumm, dass das der selbe Webmaster ist .
(Eventuell erscheint noch die Warnung, wenn man den Link anklickt - das kann unter Umständen noch ein paar Tage so bleiben - so lange, bis Google die Seite neu geprüft und als "sauber" erkannt hat).
Zuletzt bearbeitet: