Foto by Klicker, http://www.pixelio.de/media/287802

Ich spielte Kicker. Mein Teamkamerad  und ich waren bereits seit einer halben Stunde ohne Pause am Tisch, als mich um 22:00 ein Freund anrief. Wichtig sei es… Google meldete sich bei ihm und hat seine Webseite aus den Suchergebnissen ausgeschlossen. Auch sein Provider hat zeitweise die Seite aus dem Verkehr gezogen und angemahnt, dass von seiner Seite aus Phishing-Angriffe stattfinden. Dritte haben sich Zugriff auf die Seite verschafft und ein zum Verwechseln ähnliches Loginformular platziert, um Anmeldedaten der Bankkunden abzugreifen und an E-Mails der Angreifer weiterzuleiten.

Die Arbeit rief und man soll ja bekanntlich dann aufhören, wenn’s am schönsten ist.

Der Schock saß erst einmal tief. Es ist gerade Saison, um neue Aufträge für das Unternehmen des Freundes einzufahren und seine Werbetrommel stand auf einmal still…

Also ging es an die Analyse und Beseitigung der Folgen des Hackerangriffs. Zuerst fiel auf, dass das Content Management System (kurz: CMS) stark veraltet war, also updaten und damit potenzielle Sicherheitslücken schließen. Das war sicherlich das erste Einfallstor der Hacker, zumal das benutzte CMS in den letzten Jahren gerade wegen Sicherheitslücken ins Rampenlicht der Fachpresse und ins Visier der Angreifer gerückt ist. Damit konnte es sicherlich nicht getan sein, also ging die Suche nach Werkzeugen und Hinterlassenschaften der Angreifer weiter.

Das Haupteinfallstor hat sich direkt auf der Startseite der befallenen Seite befunden: übergab man der index.php einen bestimmten Parameter, so tat sich ein Formular auf, in welchem man Dateien hochladen konnte. Ziemlich frech.

2 Stunden später und mehrere Dutzend gelöschte Dateien später konnte man davon ausgehen, dass der Angriff in 2 Zeitabschnitte aufgespalten werden kann. Zuerst wurde im August 2014 das Einfallstor geöffnet. Der Code ist sehr spartanisch, sogar kindisch, wenn man so will. Der zweite Angriff erfolgte erst im Februar 2015. Hier wurden die besagten Betrugsseiten platziert, welche ein Paar Tage nach dem Auftauchen von Google entdeckt wurden. Ohne Hilfsdateien sind die Angreifer nicht ausgekommen: Hunderte von Kilobyte an verschlüßeltem Code wurden hier auf der Webseite platziert und untereinander verlinkt, auf dem gesamten Webspace verteilt. Das war eine reife Leistung, die das Aufspüren des Schadcodes erheblich erschwehrt hat.

Profiarbeit, nicht verwunderlich bei den Daten, auf welche es die Missetäter abgesehen haben. Am Ende ergeben sich für meinen Freund folgende Folgen: Werbeausfall von einer Woche, erheblicher Einbruch des Google-Ratings, Kosten für die Säuberung des Webspaces. Und das ganze, weil die Software auf seinem Webspace nicht aktuell war. Was für Folgen diese Aktion der bösen Jungs für die Bank und deren Kunden hatte, mag ich mir gar nicht ausmalen.

Also: keep save. Frag den Administrator deines Vertrauens, ob deine Seite sicher ist, denn der Feind schläft nie, sondern sitzt mit einer Club-Mate Flasche vor dem Rechner 🙂