Hacked – oder „was bin ich für ein 13373r h4ck0r!“

Ich weiß gar nicht wer es überhaupt gemerkt hat, aber unser BauBlog wurde gehackt!

Seit dem letzten Wochenende machen sich Hacker und Scriptkiddies über mit SimplePHPBlog erstellte Blogs her und versuchen eine Sicherheitslücke auszunutzen, die seit etwa einer Woche bekannt ist.

Dies führte dazu, dass am Montag (oder noch früher?) das Blogmenü nur noch auf Englisch angezeigt wurde und ich mich nicht mehr anmelden konnte. Sven berichtete mir sogar von einem temporären Blogeintrag à la „You have been hacked…“
Nun könnte man meinen, „halb so wild, einfach Backup drüber oder Passwortfile löschen und fertig“, das gestaltet sich allerdings schwierig, wenn man zu Hause noch keinen Internetzugang hat und in der Firma weder die Ports für FTP noch eine SecureShell durch die Firewall kommen. :-/ (außerdem musste ich noch die Umzugskiste mit den Zugangsdaten für den Webserver finden…)

Am Dienstag begann ich dann per Hackermethodik mein Blog zurückzuerobern. Nachdem ich begriffen hatte, wie der Exploit funktioniert, konnte ich meinen User wieder anlegen und mich im Blog anmelden.

Um genau zu sein, gibt es zwei Exploits in SimplePHPBlog: einen um sich unberechtigt am System anzumelden und einen anderen, um beliebige Dateien (gerne genommen: PHP-Files) ins Bilderverezeichnis hochzuladen.
Dies haben irgendwelche russischen und chinesischen Hacker dann wohl auch ausgenutzt und mir ein paar hübsche PHP-Files hochgeladen, mit denen man recht bequem über meinen Webspace marschieren kann …

Außerdem habe ich noch einen http-daemon sowie eine Installation von iroffer gefunden. Anscheinend haben die Eindringlinge aber nichts zum Laufen bekommen, zusätzlicher Traffic ist nicht entstanden.

Die Tools, die mir die Hacker aus Russland/China hinterlassen haben, taugten mir immerhin dazu, den Grad der Invasion abzuschätzen und die Dateien zu lokalisieren, die ich (unter Ausnutzung der SimplePHPBlog-Sicherheitslücke) löschen musste.
Die hinterlassene R57-Shell taugte auch dazu, das PHP-File mit dem Sicherheitsleck letzten Endes zu editieren (aus „false“ mach „true“ – kleine Ursache große Wirkung), um für die nächsten Tagen gegen die Angriffe gewappnet zu sein. Bis ich das Software-Update einspielen kann, dauert es ja noch so lange bis wir wieder Internet haben…

Fazits:
– Ganz schlechtes Timing für diese Sicherheitslücke!
– Misstrauisch sein, wenn das Blog über Suchbegriffe wie „powered by Simple PHP Blog 0.4.0““ gefunden wird.
– und: Glück im Unglück: (Richtig) böse Menschen hätten uns ja auch sämtliche Blogeinträge löschen können…