Stand ab kurz vor 13 Uhr gestern unter Feuer. Neos WordPress.

Wie bereits berichtet hatte ich Besuch. Nach einer sehr kurzen Nacht und jeder Menge Scherben die ich zusammenfegen durfte machte ich mich dann heute früh um 05.30 Uhr daran das System abzusichern und nach dem Übeltäter zu fahnden. Nachdem ich den „wp-admin“ Bereich nun durch eine weitere Passwort-Abfrage gesichert und alle anderen Kennwörter an den relevanten Stellen vorsichtshalber geändert hatte, machte ich mich daran die Logfiles meines Apache Webservers durch zu suchen.

Samstag, 12.47 Uhr:
Die IP Adresse eines türkischen Mobilfunkanbieters startete diverse HTTP GET Abfragen und lootet anscheinend mein WordPress aus. Irgendwann taucht ein POST mit dem Inhalt „/wp-admin/admin.php?page=stats&noheader&chart=flot-stats-data“ auf. Ab hier ist es dann vorbei mir meinen Kenntnissen.

Sanstag, 12.53 Uhr:
So wie es aussieht ist die Schwachstelle gefunden. Es wird damit begonnen eine neue Seite anzulegen und auf die Site des TurkHackTeam verwiesen. Dann wird der User „Neovenator“ gelöscht und das Kennwort des „admin“ Users geändert. Als Kontaktadresse des Admin setzt man die E-Mail Adresse: presans.tht@hotmail.com gesetzt. Ab dann bricht die Hölle los und alle Blogbeiträge werden automatisch gelöscht.

Zugriff auf die Datenbank oder auf den Server selbst hatten die Türken glücklicherweise nicht. Alle Aktionen fanden über WordPress statt. Stolz posted man noch eine URL mit meiner gehackten Seite auf der entsprechenden OP-Seite der Hacker.

Auf meiner Seite sah man am Schluss noch einen Blogbeitrag aus 2010 und eine neue Seite die folgenden Text zum Inhalt hatte

Hacked By Turkhackteam.net //op

“ Deutschland Betrieb! Sie haben gehostet in Ihrem Land können Sie nicht zurück die bösen Worte über unser Land und die PKK-Terroristen feto-maker, und wenn Sie nicht erhalten, die Angriffe fortsetzen wird

Blahgackfasel und Blubberdiblubb. Google Translator lässt schön grüßen

Gegenmaßnahmen:

Gegen 13.04 Uhr leitete ich die Notabschaltung des Apache Webservers ein. Dann machte ich mich daran dass kompromittierte Kennwort und die E-Mail Adresse des „admin“ Benutzers über die MySQL Datenbank wieder neu zu setzen. Darauf hin startete ich den Apache Server, loggte umgehend in WordPress ein und deaktivierte alle Plugins.

Die Nummer mit dem fehlenden Backup der Datenbank hatte ich euch ja schon mitgeteilt. Schweren Herzens killte ich das was von meinem alten Blog noch übrig war und begann damit den Blog von 0 auf neu aufzubauen. Neue Datenbank, neuer Webspace, alles neu. Die Beiträge von 2008 bis 2017 sind nun alle weg und mein Blog sieht jetzt wieder ziemlich mager aus. Egal, das Lehrgeld muss ich bezahlen.

Analyse:

Mir ist immer noch nicht klar wie die Typen es genau geschafft haben meine Site zu entern. Ich war anfänglich noch super sicher dass ich ein WordPress 4.7.2 betrieben habe, sehe aber im ganzen Web nur dass 4.7 und 4.7.1 schwere Schwachstellen haben sollen. Sollte das Autoupdate vielleicht meinen Blog nicht geupdated haben? Wenn ich in meinen Mails nachschaue finde ich auch nur eine Mail dass WordPress automatisch auf 4.7.1. geupdated wurde.

Ich habe den kompletten Anrgiff als Datei aus dem access.log meines Apache Webservers gesichert und stelle ihn den Forensikern unter euch HIER zur Verfügung. Es handelt sich um ein Textfile im .log Format. Wenn mir jemand von euch sagen kann wie der Angriff genau abging wäre ich euch sehr verbunden.

Meine Vermutung soweit: Ich hatte noch WordPress 4.7.1 und da dies unsicher war hatte ich das Pech. Es würde mich zumindest sehr beruhigen dass meine eigene Blödheit daran Schuld ist und nicht eine neue Sicherheitslücke in WordPress, die noch keiner kennt.

Und das wichtigste für heute überhaupt: Danke Erdogan!
Irgendjemand muss ja schuld sein.