Feb 26

Der Angriff kam aus der Türkei

Stand ab kurz vor 13 Uhr gestern unter Feuer. Neos WordPress.

Wie bereits berichtet hatte ich Besuch. Nach einer sehr kurzen Nacht und jeder Menge Scherben die ich zusammenfegen durfte machte ich mich dann heute früh um 05.30 Uhr daran das System abzusichern und nach dem Übeltäter zu fahnden. Nachdem ich den „wp-admin“ Bereich nun durch eine weitere Passwort-Abfrage gesichert und alle anderen Kennwörter an den relevanten Stellen vorsichtshalber geändert hatte, machte ich mich daran die Logfiles meines Apache Webservers durch zu suchen.

Samstag, 12.47 Uhr:
Die IP Adresse eines türkischen Mobilfunkanbieters startete diverse HTTP GET Abfragen und lootet anscheinend mein WordPress aus. Irgendwann taucht ein POST mit dem Inhalt „/wp-admin/admin.php?page=stats&noheader&chart=flot-stats-data“ auf. Ab hier ist es dann vorbei mir meinen Kenntnissen.

Sanstag, 12.53 Uhr:
So wie es aussieht ist die Schwachstelle gefunden. Es wird damit begonnen eine neue Seite anzulegen und auf die Site des TurkHackTeam verwiesen. Dann wird der User „Neovenator“ gelöscht und das Kennwort des „admin“ Users geändert. Als Kontaktadresse des Admin setzt man die E-Mail Adresse: presans.tht@hotmail.com gesetzt. Ab dann bricht die Hölle los und alle Blogbeiträge werden automatisch gelöscht.

Zugriff auf die Datenbank oder auf den Server selbst hatten die Türken glücklicherweise nicht. Alle Aktionen fanden über WordPress statt. Stolz posted man noch eine URL mit meiner gehackten Seite auf der entsprechenden OP-Seite der Hacker.

Auf meiner Seite sah man am Schluss noch einen Blogbeitrag aus 2010 und eine neue Seite die folgenden Text zum Inhalt hatte

Hacked By Turkhackteam.net //op

“ Deutschland Betrieb! Sie haben gehostet in Ihrem Land können Sie nicht zurück die bösen Worte über unser Land und die PKK-Terroristen feto-maker, und wenn Sie nicht erhalten, die Angriffe fortsetzen wird

Blahgackfasel und Blubberdiblubb. Google Translator lässt schön grüßen

Gegenmaßnahmen:

Gegen 13.04 Uhr leitete ich die Notabschaltung des Apache Webservers ein. Dann machte ich mich daran dass kompromittierte Kennwort und die E-Mail Adresse des „admin“ Benutzers über die MySQL Datenbank wieder neu zu setzen. Darauf hin startete ich den Apache Server, loggte umgehend in WordPress ein und deaktivierte alle Plugins.

Die Nummer mit dem fehlenden Backup der Datenbank hatte ich euch ja schon mitgeteilt. Schweren Herzens killte ich das was von meinem alten Blog noch übrig war und begann damit den Blog von 0 auf neu aufzubauen. Neue Datenbank, neuer Webspace, alles neu. Die Beiträge von 2008 bis 2017 sind nun alle weg und mein Blog sieht jetzt wieder ziemlich mager aus. Egal, das Lehrgeld muss ich bezahlen.

Analyse:

Mir ist immer noch nicht klar wie die Typen es genau geschafft haben meine Site zu entern. Ich war anfänglich noch super sicher dass ich ein WordPress 4.7.2 betrieben habe, sehe aber im ganzen Web nur dass 4.7 und 4.7.1 schwere Schwachstellen haben sollen. Sollte das Autoupdate vielleicht meinen Blog nicht geupdated haben? Wenn ich in meinen Mails nachschaue finde ich auch nur eine Mail dass WordPress automatisch auf 4.7.1. geupdated wurde.

Ich habe den kompletten Anrgiff als Datei aus dem access.log meines Apache Webservers gesichert und stelle ihn den Forensikern unter euch HIER zur Verfügung. Es handelt sich um ein Textfile im .log Format. Wenn mir jemand von euch sagen kann wie der Angriff genau abging wäre ich euch sehr verbunden.

Meine Vermutung soweit: Ich hatte noch WordPress 4.7.1 und da dies unsicher war hatte ich das Pech. Es würde mich zumindest sehr beruhigen dass meine eigene Blödheit daran Schuld ist und nicht eine neue Sicherheitslücke in WordPress, die noch keiner kennt.

Und das wichtigste für heute überhaupt: Danke Erdogan!
Irgendjemand muss ja schuld sein.

Feb 25

Tod den Asteroiden

Zieht immer noch am besten. Die Noob-Fleet: Mining. 

Nachdem wir in der letzten Noob-Fleet zusammen mit Dragoon-Caredaan einige sehr schöne Fights im Nullsec hatten, dachte ich dass wir es diesen Freitag mal ruhig angehen lassen sollten. Also startete ich am Freitag die Mining Noob-Fleet. Wie üblich trafen wir uns um 19 Uhr im Kothe Sternensystem um den dort ansässigen Minern zu zeigen wie man mit dem großen XL Mop ordentlich durchwischt und nebenbei das ganze System leer zu fegen.

Da Community-Flotten in den letzten Wochen nur noch vereinzelt auf dem Launcher zu finden sind rechneten wir nicht mit all zu vielen Piloten. Der Anfang gestaltete sich dann auch sehr übersichtlich. Mit 25 Piloten dockten wir ab und begannen im ersten Asteroidengürtel des Systems.

Da die Schweine im Weltall gerade mal wieder Krieg gegen die PIRAT haben entschied ich mich dazu meinen Altchar Kel Rashem einzuloggen. Einziges Problem. der Kollege kann super toll PVP, aber vom Buddeln im Dreck hat der Kolleg aus dem Minmatar Raum so viel Ahnung wie eine Kuh vom Eiskunstlauf.

Dank eines Corpies bekam ich das Fitting für eine Venture und stellte fest: Kann mein Alt nicht. Zum Glück gab es nur „Mining Fregatte I“ zu skillen. Während die anderen sich schon im Asteroidengürtel los legten eierte ich nach Amarr um mir von meinen letzten Peseten den Skill für die Venture zu besorgen. Mit etwas Verspätung trudelte ich dann auch zum fleissigen Mining ein und legte los.

Mit zunehmender Stunde steigerte sich erwartungsgemäß auch die Stimmung. Mehr und mehr Piloten kamen noch hinzu, so dass wir am Ende dann 45 Leute in der Flotte waren. Während ich mit meiner Venture des Todes allen anderen alles vor der Nase weg minerte wurden wir von 5 Orcas geboosted. Otto sorgte in meiner Charon für den Abtransport des , nicht aber ohne über meine begrenzte Ladekapazität von 500.000m³ zu meckern. Kurzer Hand fittete er das Teil dann so um dass 1,2 Mrd m³ (Das war Ottos Aussage) hineinpassten. Erst dann war Ruhe mit dem Gemopper.

Der letzte Asteroid hauchte sein Leben gegen 0.30 Uhr aus. Ich war dann auch ziemlich durch und klinkte mich aus.

Neben dem ganzen Ore kamen auch noch einige Spenden herein. Wegen des Zwischenfalls auf meinem Blog kam ich leider nicht dazu die Auszahlungen vorzunehmen. Das werde ich dann morgen im Laufe des Sonntag machen. Ich bedanke mich an dieser Stelle bei allen die gestern Teilgenommen und auch gespendet haben. Es war wie immer ein sehr geiler Abend.

Feb 25

Böse Hacker und der Neo

Startet bei 0. Der Neo.

„Ihre E-Mail Adresse wurde geändert“. Diesen Satz las ich beim Auto waschen heute Mittag auf meinem Mobiltelefon. Mir schwante nichts gutes denn ich hatte meine E-Mail Adresse auf meinem Blog ganz gewiss nicht geändert. Wie denn auch? Ich war gerade wie jeder anständige Preuße im strahlenden Sonnenschein dabei mein Auto zu waschen.

Ich ahnte was nun kommen würde. Ich rief meinen Blog auf und der Ahnung wich das blanke Entsetzen. Der Blog war gerade dabei gelöscht zu werden. Alle Beiträge von 2010 bis 2017 waren bereits wie mein Design futsch. Panisch sprang ich in mein Auto und brauste nach hause. Im Kopf ging ich meine Backups durch. Eigentlich sollte ich alles löschen und wieder recovern können. Die von mir eingesetzte Software „ISPConfig 3“ bot ein recht einfach zu bedienendes Backupsystem. Ich sollte das Script-Kiddie welches meinen Blog übernommen hatte schnell entsorgen und meinen Blog wiederherstellen können.

Zuversichtlich dass alles wieder gut würde loggt ich mich per SSH auf meinen Server ein und beendete erst mal den Apache Server. Dann machte ich mich daran über die Shell per MySQL das Kennwort des Administrators und dessen E-Mail Adresse wieder auf mich umzubiegen. Dann startete ich den Apache und loggte mich in den Blog ein um erst mal alle Plugins zu deaktivieren. Anschließend loggte ich mich in mein ISPConfig ein und schaute nach meinen Backups. Spätestens jetzt setzte die Panik ein.

Ich konnte Backups zu allem finden. Von Killboard und dem Forum waren Webspace und Datenbanken gesichert worden. Von meinem Blog…. tja, nur die Webdaten und keine Datenbank. Ich geriet in Panik, sollten 9 Jahre des Bloggens einfach so futsch sein? Wo war das Datenbank-Backup nur hin? Ich klickte mich durch die Menüs und dann fand ich den grausigen Fehler, den ich damals beim anlegen der Datenbank gemacht hatte. Ich hatte sie in der Verwaltungssoftware nicht der Website zugeordnet und somit wurde sie auch nie per Backup gesichert.

Die Erkenntnis dass mein seit Jahren in betrieb befindlicher Blog nun dank meiner eigenen Blödheit das Klo runter gespült würde setzte ein und noch nie war das Verlangen so groß mir am Nachmittag schon das erste Bier auf zu machen um mich sinnlos zu betrinken. Das Datenbank-Backup vergessen. Wie kann man nur so unheimlich bescheuert sein? Ich akzeptierte mein Versagen und machte mich daran alles neu aufzusetzen. Das Ergebnis sieht man jetzt hier. Ich darf wieder bei 0 Anfangen. Glücklicherweise konnte ich meine Guides und Geschichten auf archive.org (Danke für den Tipp Arame Azur) absaugen und kann sie somit hier wieder zur Verfügung stellen.

Was den Rest meines Blogs angeht, den werde ich wohl beerdigen dürfen. Noch bin ich bei der Analyse. Der Angreifer muss über einen meiner Plugins in das System gekommen sein. Viele Plugins nutze ich nicht. Eigentlich nur das Jetpack, Akismet, einen Google Font Plugin und seit neuestem (ca. 14 Tage) den „EVE Shipinfo“ Plugin, welcher einem Informationen zu EVE Schiffen verlinkt wenn man sie entsprechend im Text mit einem Tag versieht. Wie dem auch sei. Erst mal installiere ich nur das notwendige Zeug und baue dann den Blog wieder aus. Schade um die ganzen alten Beiträge.

Eines habe ich jedenfalls daraus gelernt: Never ever forget the Database Backup!