Ich weiß gar nicht wer es überhaupt gemerkt hat, aber unser BauBlog wurde gehackt!
Seit dem letzten Wochenende machen sich Hacker und Scriptkiddies über mit SimplePHPBlog erstellte Blogs her und versuchen eine Sicherheitslücke auszunutzen, die seit etwa einer Woche bekannt ist.
Dies führte dazu, dass am Montag (oder noch früher?) das Blogmenü nur noch auf Englisch angezeigt wurde und ich mich nicht mehr anmelden konnte. Sven berichtete mir sogar von einem temporären Blogeintrag à la „You have been hackedÂ…“
Nun könnte man meinen, „halb so wild, einfach Backup drüber oder Passwortfile löschen und fertig“, das gestaltet sich allerdings schwierig, wenn man zu Hause noch keinen Internetzugang hat und in der Firma weder die Ports für FTP noch eine SecureShell durch die Firewall kommen. :-/ (außerdem musste ich noch die Umzugskiste mit den Zugangsdaten für den Webserver findenÂ…)
Am Dienstag begann ich dann per Hackermethodik mein Blog zurückzuerobern. Nachdem ich begriffen hatte, wie der Exploit funktioniert, konnte ich meinen User wieder anlegen und mich im Blog anmelden.
Um genau zu sein, gibt es zwei Exploits in SimplePHPBlog: einen um sich unberechtigt am System anzumelden und einen anderen, um beliebige Dateien (gerne genommen: PHP-Files) ins Bilderverezeichnis hochzuladen.
Dies haben irgendwelche russischen und chinesischen Hacker dann wohl auch ausgenutzt und mir ein paar hübsche PHP-Files hochgeladen, mit denen man recht bequem über meinen Webspace marschieren kann …
Außerdem habe ich noch einen http-daemon sowie eine Installation von iroffer gefunden. Anscheinend haben die Eindringlinge aber nichts zum Laufen bekommen, zusätzlicher Traffic ist nicht entstanden.
Die Tools, die mir die Hacker aus Russland/China hinterlassen haben, taugten mir immerhin dazu, den Grad der Invasion abzuschätzen und die Dateien zu lokalisieren, die ich (unter Ausnutzung der SimplePHPBlog-Sicherheitslücke) löschen musste.
Die hinterlassene R57-Shell taugte auch dazu, das PHP-File mit dem Sicherheitsleck letzten Endes zu editieren (aus „false“ mach „true“ – kleine Ursache große Wirkung), um für die nächsten Tagen gegen die Angriffe gewappnet zu sein. Bis ich das Software-Update einspielen kann, dauert es ja noch so lange bis wir wieder Internet habenÂ…
Fazits:
– Ganz schlechtes Timing für diese Sicherheitslücke!
– Misstrauisch sein, wenn das Blog über Suchbegriffe wie „powered by Simple PHP Blog 0.4.0““ gefunden wird.
– und: Glück im Unglück: (Richtig) böse Menschen hätten uns ja auch sämtliche Blogeinträge löschen könnenÂ…
Der „You have been hacked…“ -Eintrag tauchte auch auf planet.baublog.de auf. Den hatte ich hier manuell gelöscht, um nicht weitere ungebetene Gäste anzulocken. Sieht so aus als ob das nur ein „freundlicher“ Hacker war und die ungebetenen Gäste erst später kamen und Spuren verwischten. Das nächste Mal gibts eine Mail.
Das ist nett – aber mit Mail lesen (oder auch Festnetztelefonie) ist bei uns ja leider noch nicht so viel los… :-/
Das war der Müll vom Montag 05.09.2005, 01:00 Uhr:
________________________________
hacked!
A script kiddie was here!
Pinoy Hacking Team rules!
Greetings fly to PAtz,ch1m3ra,rebarz99,Wangyo,heps,Bryle,LuVcHr:s,powerb0xx,royX,tanabe,c:own,RaNdY,zyk,
-upgrade simplephpblog, you must!
_________________________________
Könnte aber auch ein frustrierter Hartz IV Empfänger gewesen sein; jedenfalls muss es Menschen geben, die einfach zuuu vieeeel Zeit haben… (?)
Dennis, wie hälst Du es eigentlich ohne Internetzugang aus? 😉 UNVORSTELLBAR!