Infektionsbereinigung

Bin am Bereinigen der Hackerattacke. Mittlerweile habe ich alle Passworte geändert und drei Dateien auf meinem Server entdeckt, die da nix zu suchen haben.

Die eine ist eine CSV-Datei mit irgendwelchen Spamadressen, die wohl von dem Hacker missbraucht werden sollten. Ist ab in den Müll gewandert.

Des Weiteren eine HTML-Datei mit einem rein numerischen Namen. Keine Ahnung wozu die da ist, aber die hat hier auch nix zu suchen und ist gelöscht.

Die eigentliche Attacke ist wohl über eine PHP-Datei gefahren worden. Das scheint tatsächlich ein Toolkit gewesen zu sein. Voll kommentierte PHP-Befehle. Da werden gezielt Schwachstellen im System abgeprüft. Und da die Kommentare auf Englisch drin stehen gehe ich davon aus, dass der Hacker ein Script-Kid war, der nur zusammengeklaubtes Zeug angewendet hat. Vor Hackern und Ihren Ehrenkodex habe ich sogar einen gewissen Respekt, aber nicht vor solchen Trittbrettfahrern. Ich bin stocksauer. Sowohl auf das Möchtegern-Hackerlein, aber auch auf mich, dass mich so ein Schwacheimer überfahren konnte 🙁 .

Die Umleitung der Inhalte ist letztendlich primitiv. Ein reines document.write() per JavaScript. Zwar sind die Inhalte maskiert und werden erst zur Laufzeit per unescape() dekodiert, aber das stellt mich nun wirklich nicht vor Probleme. Hier greift der Sack mich auf meinem Ureigenen Gebiet an. Ich muss nur noch rausbekommen, wo der Befehl zusammengesetzt wird.

Letztendlich bleibt nur die Frage, wie die Mülldateien auf meinen Server kamen? Ich vermute wirklich Bruteforce. Oder wie gesagt einen Bug in der Betaversion meines CMS. Hab mittlerweile raus, dass da vor einigen Wochen ein Update kam, denn da gab es eine massive Lücke.

Ich denke, meine zentralen Dateien als auch die Datenbank sind von dem Angriff nicht betroffen und ich habe mein System mittlerweile wieder sauber. Aber ein ungutes Gefühl bleibt.

Kommentar verfassen