I’ve been hacked!

Bin ja gerade „The Web Application Hacker’s Handbook“ am lesen. Interessant, dass just jetzt kors-schlaechter.de verunstaltet wurde mit jeder Menge Spam in so ziemlich allen > 100 Posts… {panic mode on}I’ve been hacked!{panic mode off}.  Der Grund waren zu schwache Credentials. Man sieht im Log klar, dass eine ukrainische IP am 23.9. nach etwa 16.000 Versuchen eine Benutzer/Passwort Kombination erraten hat. (ja, Passwort war aus einem Wörterbuch, selbst Schuld…) Gut, dass der admin ein sicheres Kennwort hat. Der erratene User war aber leider immerhin „Editor“.

Den Tag darauf (24.09.) wurden von einer IP, die zu einem amerikanischen Cloud Hoster gehört die Posts mit Spam „angereichert“. Man sieht hier also klare Arbeitsteilung 🙂

Zusätzlich gibt es im log jede Menge versuche an die DB zu kommen (also URL Testing mit ip/phpMyAdmin und allen möglichen anderen Pfaden). Klar ist für mich auch, dass alle bots, die da am Testen sind IP Ranges abgrasen (kein einziger Zugriff über die Domain). Es müsste also ein Leichtes sein, die virtual-hosts so anzupassen, dass auf IP Zugriffe einfach nicht reagiert wird (ggf. noch mit einem langen Timeout, um die Jungs etwas zu ärgern)…

Ach ja, und ich hab mal bei dem amerikanischen Cloud Hoster Beschwerde eingereicht, bin gespannt ob da Rückmeldung kommt.

Interessant wäre eigentlich noch die Spam Links auszuwerten…

Fazit: Gut, wenn man Sicherungen hat. Und gute Credentials sind wichtig. Und ja, selbst ein kleines Blog ist mittlerweile scheinbar lohnendes Angriffsziel. Auch interessant ist, dass man im Internet recht einfach die eine IP dem Hoster zuordnen konnte, während man bei dem Ukrainer keinerlei Auskunft erhält. Scheinbar sind die also fitter im „Spuren verwischen“….

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.