Hack der Webseite (31. Mai 2019)

Started by Stefan1200, June 01, 2019, 05:04:23 PM

Previous topic - Next topic

Stefan1200

Gestern Abend um 22.20 Uhr ist meine Webseite gehackt worden (trotz aktueller Webserver- und Forensoftware). Heute Nachmittag wurde ich dann von einem Forennutzer darauf hingewiesen, dass die Webseite nicht mehr erreichbar ist. Anschließend habe ich mit der Analyse begonnen.

Dabei habe ich eine Manipulation vieler PHP Dateien festgestellt (primär sollte Werbung beim Aufruf der Webseite angezeigt werden). Dabei wurde vom Angreifer jedoch ungültiger PHP Code erzeugt, das in vielen Fällen die Auslieferung durch den Webserver verhindert hat.

Als erstes habe ich die FTP und Datenbank Passwörter geändert. Anschließend habe ich alle Dateien aus einer Sicherung von der Nacht von Donnerstag auf Freitag eingespielt, dadurch wurden alle manipulierten Dateien überschrieben. Die Datenbank ist unverändert, d.h. eventuelle Forenbeiträge selbst sind nicht verloren gegangen. Ich habe die aktuelle Datenbank mit der aus der Sicherung verglichen und hier keine Manipulation festgestellt.

Generell sind nur die PHP Dateien vom Forum manipuliert worden. Aktuell kann ich mir nur zwei Sachen vorstellen: Mein FTP Passwort wurde entdeckt und darüber die Manipulation durchgeführt oder es gibt eine bisher nicht bekannte Sicherheitslücke in der Forensoftware. Falls der Angriff per FTP erfolgte, so habe ich auf jeden Fall das Passwort geändert.

Mir ist nicht bekannt, ob Informationen aus der Datenbank abgezweigt worden sind. Sollte die Datenbank ausgelesen worden sein, sind zumindest die Passwörter nicht in unmittelbarer Gefahr, da diese in der Forendatenbank gehashed und gesalzen gespeichert sind. Es kann jedoch sein, dass der Angreifer nun über eure E-Mail Adressen und JTS3ServerMod Lizenzschlüssel verfügt. Sollte euch hier auffallen, das im Lizenzmanager eine IP Adresse auftaucht, die nicht von euch stammt, so informiert mich bitte umgehend.

Das Lizenzsystem vom JTS3ServerMod wurde glücklicherweise nicht manipuliert, so das es hier heute Nachmittag lediglich einen Ausfall von knapp 2 Minuten gegeben hat, als ich das Datenbank Passwort geändert habe.

Für weitere Fragen kommt gerne auf mich zu.