Hallo Leute,
nun hat es also auch mal mich/uns erwischt: wir wurden geentert!
Dabei wurde im Wesentlichen unsere Startseite ausgetauscht; wer will kann sich den vorübergehenden "Look" unter
http://www.zone-h.net/mirror/id/16901823 anschauen.
Nach Durchsicht der Protokolle erfolgte der Angriff gegen drei Uhr heute Nacht. Um 5:23 Uhr bekam ich Nachricht (Danke dem Frühaufsteher!!), gegen 6 Uhr hab ich die Seite erstmal wieder übernommen und abgeschaltet.
Diagnose des Einbruchs: Der Einbruch erfolgte über die Portal-Erweiterung, die leider nicht mehr sonderlich gepflegt wird. Trotzdem habe ich hier ein paar Updates versäumt. Als Konsequenz habe ich diese erstmal komplett abgeschaltet (deswegen wieder diese Standard-Forum-Ansicht).
Was wurde beschädigt? Wohl nichts außer der Startseite. Ich kann erst mal nicht garantieren, dass gewisse Daten eingesehen wurden. Theoretisch hätte ein versierter Angreifer vielleicht schlimmeres veranstalten können; es gibt aber keine Indizien dafür. (Keine veränderten Postings, keine ausgetauschten Bilder, keine eingebauten Links, ...). (Wahrscheinlich ist ihm sogar ein Fehler unterlaufen: er hat nämlich eine wichtige Datei überschrieben die er für weitere Attacken gebraucht hätte.) Naja, die Admin- und Datenbank-Passwörter sind von mir geändert worden. Von der Seite droht also erstmal keine weitere Gefahr.
Was ich nicht ausschließen kann: der Hack zielt unter anderem darauf ab, an die Mitglieder-Tabelle zu kommen. Das bringt im Falle der Passwörter wenig; allerdings sind eure EMail-Adressen darin lesbar. Nun kann ich Euch aber fast versichern, dass er mit 55 EMail-Adressen nicht reich wird. (Und ich würde eh behaupten, dass der die Tabelle nicht gezogen hat).
Ok, blöd ist das alles. Sorry für alle Unannehmlichkeiten.
Zukunft: dieser Portal-Anpassung ist erst mal raus. Das kann ich selbst (gefahrlos) ähnlich wieder einrichten. (Kritisch ist/war hier gar nicht das "Ziehen" einzelner Beiträge auf die Startseite, sondern die Möglichkeit Uploads zu tätigen. Haben wir eh irgendwann nicht mehr genutzt).
Wie ihr außerdem seht, hab ich bei der Gelegenheit auch mal ein Komplett-Upgrade der Software gemacht.
Und zuletzt: Email-Konten/Accounts sind von dem Angriff nicht betroffen. (Es wurde ja auch nicht der Server bzw. Webspace übernommen - sondern nur ein sogenanntes Defacement vorenommen).
Beste Grüße,
Micha
