Was ist passiert?

Gedächtnisprotokoll eines Desasters

Samstag 13. April 2013 um 13:00 Uhr herum klingelt mein Handy, ich war gerade in München, Michael Butz rief an. Mit leichtem Vibrieren in seiner Stimme teilte er mir mit "Ich habe gerade eine Mail von unserem Provider erhalten - unsere Homepage ist gehackt! Schau mal nach, ich habe sie dir weitergeleitet!" Meine Stimmungslage verschlechterte sich um mehrere Stufen "Was? Homepage gehackt? Wann???". Michaels Antwort war kurz und aussagekräftig "Woher soll ich das wissen? Wozu haben wir Dich?". Nun gut, mein Versprechen mich darum zu kümmern habe ich  dann umgehend eingelöst.Den Rechner angeschmissen www.rhoischnooke.de eingetippt und... PFFFRZ. Ein Bildschirm in warnenstem Rot "Google wurde diese Seite als attackierend gemeldet." .....Schaden zufügen... Betreten auf eigene Gefahr.... und so weiter. Ein leichtes Würgen machte sich breit. Einfach mal durchatmen, Tina mitteilen das geplante Programm für heute nachmittag sei zumindest meinerseits gestorben... ein Bier trinken und erst mal setzen lassen!

Eine halbe Stunde und tatsächlich nur ein Bier später war mir klar, daß unsere Seitenbesucher umgehend informiert und gewarnt werden müssen. Also die seit mittlerweile vier Monaten bekannte und traurige HTML-Page erstellt und nach Deaktivierung unserer Homepage online gestellt. Aber leider war dieser Hinweis von Google weiterhin die Zierde unseres Eingangsportals. Wie kriegt man den denn wieder weg??? Das Nachmittagsprogramm war nun wirklich gestorben.

Die aktuelle Diskussion bezüglich PRISM etc. hat rückblickend zumindest im Falle von gehackten Webseiten positive Effekte. Zumindest zeigt unser Beispiel, daß das Netz sehr zeitnah nach seinen Inhalten durchforstet und gecheckt wird - es bleibt zu vermuten nicht nur von Google....

 Nach der intensiven Konsultation der ensprechenden Google Seiten war der Weg klar definiert: Google Konto einrichten, Untersuchung der Hompage beantragen und warten.....

Das Abendprogramm war gerettet. Nach erfolgreicher Absolvierung des Abendprogrammes nochmals den Rechner hochgefahren und... und... immer noch diese MMMMMPFFF Google Warnung.

Sonntag morgen, HURRA! die, wie schon gesagt traurige, HTML Seite mit Warnung und Hinweis war ohne Google´s Warnung erreichbar.

Nach Samstagsnachmittäglicher und Sonntagsganztäglicher Auswertung diverser Protokolle unserer Webseite und der Providermeldungen ergab sich folgendes Bild:

Die relevanten Systemdateien wurden mittels "code injection" (frei, aber treffend übersetzt:"Kot" Einspritzung) um weitere Befehle "ergänzt" ergo verändert. Als Ergebnis wurden in den augerufenen Seiten unserer Hompage sogenannte "iFrames" geöffnet, also Fenster (beispielsweise ist das Video auf Youtube ein iFrame), die beliebigen Inhalt anzeigen können, welche aber auch Aktionen wie den Download und das Installieren von beispielsweise Schadcode ermöglichen. Mit aktuellen Schutzprogrammen und stets aktuell gehaltenen Erweiterungen, beispielsweise Adobe Flashplayer etc., wird dieses zwar weitestgehend unterbunden aber die absolute Sicherheit gibt es leider nicht. Nicht immer warnt Google!

Doch zurück zu unserer Seite. So ein Fenster muß man doch sehen?? Leider ist dem nicht so, wird das Fenster nur einen Bildpunkt groß definiert und obendrein transparent dargestellt, dann kann das niemand sehen weil unsichtbar - aber voll funktionsfähig.

Wie lange war unsere Homepage entsprechend präpariert?
Der Angriff begann am 13. April 2013 morgens um 2 Uhr. Unser Provider hat um 12 Uhr den Laden dicht gemacht und unsere Homepage vom Netz genommen. Die Googlewarnung muß vorher aktiv geworden sein, der genaue Zeitpunkt ist mir leider nicht bekannt.

Auf der Administrationsebene begannen massive Angriffe gemäß unserem Logfile schon einen Tag vorher. Es wurde versucht sich als Administrator anzumelden. Es gibt die Möglichkeit ein Passwort durch Probieren herauszufinden. Nach der Methode gib etwas ein und das System sagt dir ob richtig oder nicht, wenn falsch versuche etwas anderes... usw. Diesen Vorgang kann man automatisieren und ein Programm die lästige Tipperei übernehmen lassen. Diese Vorgehensweise führte dazu, daß innerhalb von 12 Stunden 25000 fehlgeschlagene Anmeldeversuche bei unserer Seite aufgezeichnet wurden. Diese Vorgehensweise wird als "brute force Angriff" (brute force = rohe Gewalt) bezeichnet. Zum Glück schafften die Angreifer es nicht sich anzumelden. DU KOMMST NET REIN!

 In der Hoffnung, das Ganze allgemeinverständlich dargestellt zu haben, danke ich fürs Lesen.

Euer

Administrator