Allgemein

Zurück nach Hack/Defacement

Hi zusammen. Erstmal: Sorry wegen der Downtime. Ich hab dafür aber eine Erklärung:

Am 11. Oktober hat mich mein Provider kontaktiert, meine Seite wäre gehackt worden. Unter anderem hatten die Angreifer folgende Daten hinzugefügt. Betroffen waren:

  • ./wp-content/uploads/2012/10/telnet.pl
  • ./wp-content/uploads/2012/10/chmod.php
  • ./wp-content/uploads/sym.php
  • ./wp-content/uploads/2_x3.php.jpg
  • ./wp-content/uploads/sym/.htaccess
  • ./wp-content/uploads/sym/root
  • ./wp-content/uploads/2_a.php.jpg

Konkret bedeutete das, dass meine Webseite dieses spaßige Bild anzeigte:

N-Sup-Haxxors
Die Haxxors greifen die Seite an. Halp!!

Ja, vielen Dank auch Dark-Devilz. Ich bin persönlich nicht gerade politisch aktiv im Mittleren Osten, aber so macht ihr euch bestimmt keine Freunde. Die Spaßvögel haben zudem meine WP-Config komplett überschrieben (das hat mich einige Zeit gekostet…).

 

Nun scheint allerdings alles wieder zu funktionieren, auch habe ich keine anderen verdächtigen Programme oder Dateien gefunden, welche die Spaßvögel auf meinem Server deponiert haben könnten. Sollte euch irgendetwas auffallen, wäre ich für einen Hinweis an nerdsupremespinnt@moritzjaeger.de dankbar.

Als Gegenmaßnahme habe ich, längst überflüssigerweise, meine HTACCESS richtig angepasst. Ich verlasse mich dabei auf das Plugin Bulletproof Security.

Sorry nochmal für die Umstände. Backups, Leute. Backups, Backups, Backups.

Über den Autor

Moritz Jäger

Ich bin freier Journalist aus München und schreibe unter anderem für den TecChannel, ComputerWoche, GameStar, PC-Welt, CIO, ZDNet oder Security-Insider. Dieses Blog ist privat, hier geht es vor allem um Themen rund um IT, Geek-Kultur oder Comics. Außerdem probiere ich hier immer wieder neue Möglichkeiten aus, es kann also sein, dass ein paar Dinge nicht so hipp/schön/ausgereift sind – aber dafür sind Blogs ja da.

3 Kommentare

Hier klicken um zu kommentieren

  • Ich würde mir mehr Gedanken machen wie die Kollegen auf den Server gekommen sind, solange Du das Exploit nicht schließt haste Du die gleiche Situation wieder.

    • Du hast vollkommen recht.
      Ich geh davon aus, dass sich die Burschen (oder Mädels) einen Fehler in WordPress oder einem Plugin zu Nutze gemacht haben – wahrscheinlich hat der geklappt, weil meine .htaccess-Dateien nicht richtig gesetzt waren.
      Ich kann es natürlich nicht nachweisen, aber ich bin auf dem FTP durch alle Ordner und die WordPress-Dateien durch und konnte nichts Verdächtiges mehr finden. Das ganze scheint auch auf einem Toolkit zu basieren, ich hab etwa nach dem Satz „Because Your System Is Very Low and Bad“ gesucht und unter anderem das hier gefunden: http://pastebin.com/FDE4e0hE
      Das ist fast exakt der Wortlaut meiner Angreifer, allerdings mit anderen Namen.
      Ich hab WordPress auf 3.4.2 aktualisiert, die htaccess gesetzt, alle Passwörter geändert und unnötige Plugins deaktiviert – ich hoffe, das reicht.

Werbung

Archive

banner