Netztaucher

Webvandalismus mit teilweisem Datenverlust

Am Montag, dem 27. April gegen 16.30 Uhr war plötzlich auf vielen Seiten des Agenturservers eine eindeutige Nachricht zu lesen: defaced by „hastenichgesehen“. Eine sofortige Überprüfung ergab einen Massendefacement.

Erster Schritt war die Deaktivierung und Entfernung des Schadcodes und die anschliessende Datenwiederherstellung aus dem Backup. Etwa gegen 17.15 wurde ähnlicher Schadcode ausgeführt und ein Softwareupdate inkl. Kernelupdate schloss dann endgültig die Sicherheitslücke.

Zum Begriff Defacement

Meistens betrifft Webvandalismus die Einstiegsseite. Normalerweise werden Sicherheitslücken in Webservern ausgenutzt oder Passwörter durch Methoden wie Brute Force oder Social Engineering herausgefunden. Von denjenigen, die die Veränderungen durchgeführt haben, werden Bilder oder Sprüche hinterlassen; ähnlich wie Graffiti.

Genau das war passiert. Zuerst wurde über eine veraltete Version von WordPress eines Kunden Schadcode auf den Server geladen, durch eine Lücke in der Serversoftware ausgeführt und dann reihenweise index.* home.* und default.* mit sinnlosem Inhalt überschrieben.

Beim Einspielen der Backups wurde schnell klar, dass auch die Sicherungskopien in /backup befallen waren. Lediglich Kunden welche über die Confixx-Backuproutine Sicherungen angelegt hatten, bzw. lokal Sicherungen hatten, konnten sofort fehlerfrei wiederhergestellt werden. Um den Kunden nun Hilfe anbieten zukönnen wurde die Meldung des Angreifers durch einen allgemeinen Hinweis auf die Telefonnummer des Supports ersetzt.

Wie ging es weiter?
Die Wiederherstellungsarbeiten an den Kundenseiten dauerten fast 4 Tage, die Kunden wurden über die durchgeführten Schritte per Rundmail benachichtigt. Dieser Beitrag soll eine Plattform für eventuellen Diskussionsbedarf bieten.

Die Konsequenzen
* Aufsetzen eines komplett neuen Systems, inkl. neuer Hardware
* ältere Versionen von PHP/mySQL werden gesondert gehostet
* Frühwarnsystem für eingeschleusten Code aus Kundendaten
* Backup wird nicht mehr im Zugriff der Server, also extern, liegen
* es wird ein kostenpflichtiger Zusatzbackupservice angeboten

Alles neu macht der Mai
Die neue Hardware für den Agenturserver wird eine Sun Fire 4150 mit 8 GB Ram sein. Eine pfeilschnelle Maschine mit grosszügiger Ausstattung und einem ausgefeilten Backupsystem versehen. Sie ging letzen Donnerstag online und wird nach einigen Tests morgen in den Regelbetrieb übernommen.

7 Kommentare
  1. René L.
    René L. sagte:

    Sehr geehrter Herr Neuber,

    da möchte ich mich dem Axel anschließen und die eine Seite gerne weiter gewichten: Vielen Dank für all die Hilfe, die ich von Ihnen bisher bekam. 🙂

    Mit herzlichem Gruß

    Antworten
  2. Marco Neuber
    Marco Neuber sagte:

    Mi 06. Mai 2009 – 21:45

    Der Umzug ist gelaufen, Die Downtime betrug wegen einiger Confixx-Zicken 18min.

    Es gibt einige Kunden deren Internetprojekte etwas Startschwierigkeiten hatten wegen der neuen 5er Versionen von PHP und MySQL. Die neue Sun Fire 4150 ist echt ein Hit: Freitextsuche über einen xt:commerce Shop mit etwa 1000 Artikeln: Parse Time: 0.158s 🙂

    Antworten

Trackbacks & Pingbacks

  1. […] dem Massendefacement vom 27.4 und dem Verlust des Serverbackups wurde uns klar, dass die meisten Kunden keine Sicherungskopie […]

  2. […] dem Massendefacement vom 27.4 und dem Verlust des Serverbackups wurde uns klar, dass die meisten Kunden keine Sicherungskopie […]

  3. […] dem Massendefacement vom 27.4 und dem Verlust des Serverbackups wurde uns klar, dass die meisten Kunden keine Sicherungskopie […]

Hinterlasse einen Kommentar

An der Diskussion beteiligen?
Hinterlasse uns deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert