Informationen und Stellungnahme zum Angriff auf das Supernature-Forum

Supernature

Supernature

Und jetzt?
Teammitglied
In den frühen Morgenstunden des heutigen Tages wurde der Server, auf dem unser geliebtes Supernature-Forum läuft, von bösen Hackern heimgesucht. Dabei gelang es den Angreifern, Schadcode in die Webseite einzuschleusen. Über die Folgen und die getroffenen Maßnahmen möchte ich Euch hiermit informieren.

Welche Gefahr bestand?
Wo es nichts schön zu reden gibt, soll man das gar nicht erst versuchen, und außerdem ist mir Eure Sicherheit wichtiger als mein Ruf.
Der eingeschleuste Code hat über eine andere, ebenfalls verseuchte Webseite verschiedene Trojaner und Scareware-Programme nachgeladen und versucht, die Computer der Besucher per Drive-by-Download zu infizieren. Und leider ist mir auch mindestens ein Fall bekannt, in dem das erfolgreich war - dabei handelte es sich um das Scareware-Programm "Live Security Platinum".
Jeder, der in der Zeit zwischen ca. 2 Uhr heute morgen und der Abschaltung gegen 11:50 Uhr das Forum besucht hat, sollte dringend eine gründliche Überprüfung seines Systems durchführen!



Wurden persönliche Daten aus der Community gestohlen?
Da die Hacker ins Dateisystem eingedrungen sind, hätten sie auch grundsätzlich Zugriff auf die Datenbank gehabt. Ich gehe allerdings davon aus, dass daran gar kein Interesse bestand - es ging lediglich darum, eine gut besuchte Seite in eine Virenschleuder zu verwandeln. Selbstverständlich sind die Passwörter bei uns verschlüsselt abgespeichert und zusätzlich mit einem zufälligen Salt-Wert geschützt, sie sind also nicht ohne Weiteres zu entschlüsseln.
Weil es unverantwortlich wäre, ein noch so geringes Risiko zu ignorieren, empfehle ich Euch dennoch, das eigene Passwort umgehend zu ändern.



Welche Maßnahmen wurden getroffen?
Ich habe mich gar nicht erst bemüht, die infizierten Dateien zu finden und zu bereinigen, daher wurde die Seite kurzerhand auf den Stand von letzter Nacht zurück gesetzt. Beiträge sind davon nicht betroffen - Anhänge, die seit letzter Nacht hoch geladen wurden, sind allerdings verloren gegangen.

Wichtiger als das Aufräumen ist allerdings die Analyse, um eine Wiederholung dieser Katastrophe zu vermeiden. Glücklicherweise ließ es sich sehr genau ermitteln, wie die verseuchten Dateien auf den Server gespielt wurden. Ich bitte um Verständnis, dass ich auf diesen Punkt nicht im Detail eingehen kann, aber es wurden diverse Maßnahmen getroffen, um eine Wiederholung zu verhindern. Nur so viel: Der Angriff erfolgte über einen Zugang, der mit einem 20stelligen Kennwort gesichert war, welches allen Regeln der Passwort-Kunst entsprach.
Die letzte und 100%ige Sicherheit - das wissen wir alle - kann es nicht geben.

Dieser Vorfall tut mir unendlich leid und ist mir über alle Maßen peinlich. Wer mich kritisieren möchte - nur zu, ich werde es in Demut ertragen. Ihr dürft aber ebenso sicher sein, dass das alles niemanden mehr ärgert als mich selbst.


Vielleicht ist es ein Trost, das wir damit nicht alleine sind - eine andere populäre Webseite hat es ebenfalls erwischt:
Informationen und Stellungnahme zum Angriff auf DrWindows - Dr. Windows

Zu dumm, dass das der selbe Webmaster ist ;).
(Eventuell erscheint noch die Warnung, wenn man den Link anklickt - das kann unter Umständen noch ein paar Tage so bleiben - so lange, bis Google die Seite neu geprüft und als "sauber" erkannt hat).

 
Zuletzt bearbeitet:
Ich hoffe, dass das gröbste überstanden ist.
Ich hatte ja die schlimmsten Befürchtungen (die sich dann auch leider bewahrheitet hatten) als ich beim FF diesen roten Bildschirm sah.
Beim Supernature-Forum Passwortmatrix und bei Dr.Windows dann roter Bildschirm mit entsprechender Warnung dazu. Hatte ich bis dato noch nie. Ich wusste gar nicht was das ist.

Deine prompte Info von dir dazu half aber dem User zu verstehen und dafür danke ich dir.
Ein Angriff gegen deine Plattformen verstehe ich mittlerweile auch als Angriff gegen mich.

Nimm es nicht allzu persönlich. Neider ... überall Neider.

Jetzt ist aber scheinbar wieder alles erreichbar. Danke an Martin und sein Superteam. :kiss


:)
 
@ Supernature

Wenn ich den Link anklicke, kriege ich folgendes zu sehen:

Dr. Windows - Angriff.JPG
 
Es wird immer jemanden geben der temporär "stärker" ist egal welche Vorbereitungen man trifft.
Ich lasse gerade ein Komplettscan laufen. Danke für die deutliche und offene Information
 
Supernature schrieb:
Jeder, der in der Zeit zwischen ca. 2 Uhr heute morgen und der Abschaltung gegen 11:50 Uhr das Forum besucht hat, sollte dringend eine gründliche Überprüfung seines Systems durchführen!
Zum Vergrößern anklicken....
Ich war innerhalb dieses Zeitraums wahrscheinlich zwar nicht im Forum (und auch nicht auf Dr. Windows), aber mal rein aus Interesse:
würden MS Security Essentials die Infektion(en) bemerken oder gar verhindern?
Oder ist man als Opera-User gegen diese Art der Infektion gefeit?

Ich habe sicherheitshalber mal gleich ein Update der MS Security Essentials und einen anschließenden Scan durchgeführt, aber erwartungsgemäß wurde nichts gefunden.

Mein Passwort habe ich aber trotzdem mal geändert.
 
Der Bösewicht wurde nicht von Security Essentials erkannt, auch nicht von Avira und Outpost.
Alarm geschlagen hat bei mir nur Avast.
 
Gute Idee Grainger, habe auch mein Passwort geändert und meine Email-Adresse angepasst, die zuletzt hinterlegte ist schon seit mindestens 5 Jahren nicht mehr aktiv :ROFLMAO:
 
Und was ist mit Pfötchen-Talk, Gamer-Socity, den Minecraft-Server und den TM-Servern? Sind die evtl. auch betroffen gewesen?
 
Gaming-Society und Pfötchen-Talk waren nicht betroffen.
Zu Minecraft und TMN kann ich selbst leider nichts sagen, das wird aber sicher Supi nachholen sobald er ausgeschlafen hatt.;)
 
Noch bin ich wach :)
Da nur ganz gezielt html-Dateien und php-Scripte infiziert wurden, und das auch nur in einem bestimmten Bereich, waren TM-Server ziemlich sicher nicht betroffen. Minecraft läuft sowieso auf einer anderen Kiste.

@oropack: Die Warnung kann unter Umständen noch ein paar Tage stehen bleiben - so lange, bis Google die Seite neu geprüft und als "sauber" erkannt hat.
 
Mittlerweile kann ich auf Dr. Windows per LZ* zugreifen. :)

Habe einfach auf der Startseite auf das Dr. Windows-Logo geklickt und schon hat die Seite ganz normal geladen.

*= Lesezeichen
 
Erst mal schön das ihr wieder Onlin seid :)

Wo ich gerade das hier lese...
Supernature schrieb:
Und leider ist mir auch mindestens ein Fall bekannt, in dem das erfolgreich war - dabei handelte es sich um das Scareware-Programm "Live Security Platinum".
Zum Vergrößern anklicken....
Na dann weiß ich ja jetzt auch was das Tool heute morgen auf meinen Rechner machte !

Es ging einfach nichts mehr bei mir, habe alles versucht dieses Tool zu Deinstallieren aber keine Chance.
Ich konnte rein gar nicht mehr an Programmen Starten oder Öffnen wie z.B. CCleaner, Steam oder Sonstiges.

Musste also gestern Morgen meinen Rechner komplett Neu Installieren, aber alles halb so wild hatte ich eh in naher Zukunft vor gehabt.

Aber wie schon gesagt Super das SNF wieder erreichbar ist :)
 
Grainger schrieb:
Oder ist man als Opera-User gegen diese Art der Infektion gefeit?
Zum Vergrößern anklicken....
Jein...

... nur dann, wenn es sich um die Ausnutzung einer Schwachstelle eines anderen Browsers handelt. Sobald etwas anderes dazu kommt, wie z.B. ein Plugin wie z.B. Java (welches derzeit immer noch eine massive Lücke offen hat) oder Flash (in dem immer wieder Lücken gefunden werden) ist man nicht gegen Infektionen gefeit, nicht einmal wenn man einen Apple oder Linux benutzt, denn den neuesten Teilen ist das völlig Wurst.

Ansonsten: Mindestens ein Benutzer, die in der Zeit online war und, wie ich mit Sicherheit bestätigen kann, Opera verwendet hat, hat Glück gehabt, dass sofort alle Alarme losgingen und die Software, die über eine andere Domain eingeschleust werden sollte, rechtzeitig erkannt und an der Ausführung gehindert wurde. Dieser Benutzer hofft übrigens, dass die derzeit weit verbreitete cpanel Lücke nicht auch hier ausgenutzt wurde und wir hier tatsächlich Ruhe haben werden ...
 
Inzwischen hab ich die Bestätigung von Google erhalten, dass die Seiten wieder sauber sind.

@winni: Tut mir wirklich sehr leid

@QuHno: cPanel ist auf den Servern nicht installiert, oder meinst Du was anderes?
Kannst Dich auch gerne per PN dazu melden.
 
Jop, meins auch. Avast hat glücklicherweise die Ausführung der .exe und auch ausführungen des Codes gestoppt.


Supernature schrieb:
Wer mich kritisieren möchte - nur zu, ich werde es in Demut ertragen.
Zum Vergrößern anklicken....
Idk was da für n Ding abgezogen wurde um Zugang zu erlangen, aber warum sollte man dich kritisieren.
Jeden Tag kommen neue Viren/Trojaner/etc. auf und praktisch jeden Tag werden Sicherheitslücken entdeckt.
Es ist ja nicht so, dass du keine Updates einspielst, oder deine Initialen als Passwort verwendest (nehm ich an ^^).
D.h. ist mMn dir kein Vorwurf zu machen.
 
Supernature schrieb:
@QuHno: cPanel ist auf den Servern nicht installiert, oder meinst Du was anderes?
Zum Vergrößern anklicken....
Nope, ich meinte schon das und gut dass es nicht installiert ist, denn da grassiert derzeit ein ziemlich fettes Ding. :)

Ansonsten freue ich mich natürlich schon auf eine etwas ausführlichere Analyse, wie die hineingekommen sind und wo die ihre Häufchen hinterlassen haben, denn Wissen schadet nicht.
Die Fiesnickel wissen sowieso schon, wie es geht, aber für andere Server-Admins wäre es interessant. Falls der Name der Attacke bekannt ist, mit der auf den Server eingeprügelt wurde, reicht das auch. Den Rest kann man ja dann auf den einschlägigen Sicherheitsseiten nachlesen.


@digitaldouchebag: Nach meinem Kenntnisstand wurden im April ca. 20 Java Lücken an Oracle gemeldet, wovon 7 kritisch waren, aber bis heute wurden erst 4 davon geschlossen. Mindestens 2 der restlichen Lücken können, soweit ich weiß, für fly-by Infektionen ausgenutzt werden, also Infektionen ohne Zutun des Nutzers. Mindestens eine davon hat es in das Blackhole Exploit-Kit geschafft, das bedeutet: Jedes Script Kiddie kann die einsetzen.

Generelle Empfehlung: Nicht nur das Java Plug-In deaktivieren, sondern sondern direkt Java deinstallieren wenn es irgendwie möglich ist, denn normalerweise braucht man es nicht.

Positiver Nebeneffekt: Man hat wieder ein paar hundert MB mehr Platz auf der Platte und die Paranoia lässt etwas nach, weil man sich um eine Sache weniger kümmern muss.
Negativ: Open Office und seine Derivate mögen nicht mehr wirklich laufen.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben