Versuchschemie gehackt

[Mephisto]

Da Versuchschemie.de offenbar gehackt wurde und viele unserer User dort aktiv sind, möchte ich diesen Thread erstellen, in dem diese User, falls benötigt, die Möglichkeit haben sich austauschen zu können.

Im Namen des LambdaSyn-Administrationsteams wünsche ich schon mal "gute Besserung" für Versuchschemie.


Hier die Nachricht auf dem Server vom 02.10.2008:
Hallo liebe VC-User und -besucher!

Leider ist es heute passiert und Versuchschemie.de wurde gehackt.
Obwohl diese Formulierung unsicher ist: der Server, auf dem VC gehostet ist, wurde gehackt. Nach Rücksprache mit meinem Hostmaster schon gegen heute Mittag und vermutlich von einem automatischen Script aus. Es wurden auf dem gesamten Server alle die Dateien geleert oder gelöscht, die etwa "index", "log" usw. im Namen haben. So wurden auch die Apache-Logs des Servers gelöscht, wodurch wir nicht mehr feststellen können, wie genau, mit welcher IP und über welchen Kunden-Account das Script eingebrochen ist. Ich hätte mich wenigstens gefreut, noch feststellen zu können, daß nicht VC das Einfallstor war. Denn ich habe in den vier Jahren meiner Administration ganz besonderen Wert auf Hack-Sicherheit gelegt und erst vorgestern die Firewall noch einmal verschärft. In diesen vier Jahren habe ich mir täglich all die erfolglosen Angriffsversuche in meinen Logfiles angesehen und ihre Methoden studiert. Deshalb halte ich es für sehr unwahrscheinlich, daß der Angriff auf den Server über unser VC erfolgt sein kann.

Genau hier liegen die Risiken des sogenannten shared-hosting. Ein einziger von hundert Kundenaccounts (hier etwa 30), der mit unsicheren PHP-Scripten arbeitet, kann Einfallstor zur Kompromittierung des kompletten Servers werden. Wer es schafft, auf das Web eines einzigen Kunden zuzugreifen, kann in der Regel auch dessen sogenannten Document-Root verlassen und damit auf Datei-Ebene in alle anderen Document-Roots eindringen, sogar tief in den Server bis zur Ebene Root "/". Auch in diesem Fall hatte das Hack-Script oder hatten die Hacker offenbar Root-Rechte auf dem Server erlangt, so daß auch der Mail-Server nicht mehr funktionierte, es ist/war also der komplette Server kompromittiert.
Die Gefahren des shared-hosting haben mich all die Jahre schon beunruhigt, die Beseitigung dieser Gefahr wäre ein eigener Server, also ein eigenes Gerät mit eigenem Linux/Apache usw...
Ich konnte all die Jahre zuverlässig die laufenden Kosten für VC aufbringen, nicht jedoch für eine eigene Maschine und die damit verbundenen zusätzlichen Strom-Kosten pro Jahr. Den Platz dafür hätte mein Hostmaster durchaus noch zur Verfügung gehabt (19 Zoll, 1 Höheneinheit).
Liebe User, Ihr wißt, daß ich all die Jahre keine Überwindung fand, Euch um Unterstützung zu bitten. Jetzt aber muß ich mir einen Ruck geben und bitte die erwachsenen, finanziell gut gestellten User unter Euch, Geld für ein eigenes Server-Gerät zusammenzulegen. Die Kosten für ein gebrauchtes Gerät, beispielsweise über Ebay, lägen - bei unseren Leistungsanforderungen - bei einigen hundert Euro. Darüber könnte man sich dann im Forum absprechen.

Zur vorläufigen Schadensbilanz:
Wie gesagt, wurden auf dem gesamten Server alle Dateien mit einem bestimmten Dateinamens-Schema geleert, also auch bei VC. Mit einiger Wahrscheinlichkeit könnte es sich um eine arabische Hacker-Gruppe handeln, die von den betroffenen Hosmastern offenbar Geld für die Revision des Hacks erpressen will.
Bis auf die genannten Dateien scheinen alle anderen unversehrt zu sein. Ein letztes File-Backup von mir liegt schon lange zurück, es werden aber maximal nur wenige neue Änderungen von mir nicht mehr rekonstruierbar sein.
Das wichtigste aber: Die MySQL-Datenbank von VC ist unversehrt, aktuell nochmal gesichert und auf meinen PC heruntergeladen, das Forum ist also bis zum allerneuesten Posting komplett! (Beim Hack meines Admin-Vorgängers im Jahr 2004 hatte der Angreifer auch die Datenbank komplett gelöscht). Dies wäre für einen Hacker mit Zugriff auf Dateiebene aber auch nicht einfach gewesen, weil ich das Datenbank-Passwort in der config.php verschlüsselt hatte (normalerweise steht es im Klartext in dieser Datei).

Als nächstes werde ich alle Files herunterladen und mühsam nach möglichen eingetragenen Backdoors oder auffälligem Änderungsdatum untersuchen. Von den geleerten Dateien habe ich Backups auf meinem Computer, auch wenn die möglicherweise nicht mehr auf dem neuesten Stand sind. Ich berate mich mit dem Hostmaster, was zu tun ist. Die Datenbank-Tabellen mit den Privaten Nachrichten werde ich auf dem Server vorsichtshalber komplett leeren. Es gäbe nun folgende Möglichkeiten:

- VC wieder online schalten, nachdem alles gebackupt ist. In diesem Fall könnte VC erneut beschädigt werden, falls die Hacker noch Zugriff oder erneuten Zugriff auf den Server bekommen. Dann müßten nach einer erneuten Beschädigung die Backups eben wieder hochgeladen werden. Die Datenbank selbst ist für Hacker so gut wie unknackbar, eben weil in keiner Datei das DB-Passwort im Klartext steht. Und selbst wenn sie knackbar wäre, sind die Passwörter der User ebenfalls verschlüsselt gespeichert und könnten nicht einmal von mir selbst in Klartext umgewandelt werden, geschweige denn von einem Fremden.

- Ich warte mit dem Online-Stellen von VC lieber noch ab und richte vorläufig eine Sammelstelle für die User woanders im Internet ein, solange nicht sicher ist, daß in der Server-Software selbst oder in anderen Kundenaccounts immernoch Backdoors oder erneute Einbruchsgefahren bestehen.

Für was auch immer ich mich entscheide, ich versuche alles, um Euch den Verzicht auf unser geliebtes VC so kurz wie möglich zuhalten! Aktuelle Informationen bekommt ihr immer beim Aufruf der Domain!
Bitte rechnet nicht gerade mit Minuten, zumal das Sichern der Dateien vom Server über DSL die ganze Nacht dauern kann. Frühestens wenn alle Dateien auf meinem Computer gesichert sind, würde ich den Zugriff auf VC-Dateien (außer der, die Ihr gerade lest) via HTTP wieder erlauben.

Bis bald!
Euer Hartmut!
Regensburg, 02.Oktober 2008


Zitat: http://www.versuchschemie.de/

[Focus-Flamepoint]

 Ich danke Dir für die Erstellung dieses Threads, also ich oute mich hier als Versuchschemie - Mitglied! Hoffe natürlich auch auf baldige
 Besserung  war jeden Tag on, kaum wo anders, die Site geht mir ab...

[Mephisto]

Nun erscheint bei Versuchschemie auch die obige Nachricht anstatt "hacked by ahmadbady" wie gestern Abend.

Dieser ahmadbady hat mit seinem Nick und seiner Email-Adresse kivi_hacker666@yahoo.com recht viele Spuren im Netz hinterlassen. Damit meine ich nicht nur die vielen Seiten die er international gehackt hat, sondern auch die vielen verschiedenen Forumseinträge (z.B. hier). Eigentlich könnte die Staatsanwaltschaft bei einer Strafanzeige die IP von Yahoo oder den Foren erfragen und hoffen, dass der Hacker irgendwann ohne Proxy online war.

Da aber die Anzeichen dafür sprechen, dass der Hacker aus dem Iran stammt, würde auch sein Name samt Adresse, die über die IP von seinem ISP in Erfahrung zu bringen wäre, keinen Nutzen für eine strafrechtliche Verfolgung haben.

Man kann nur hoffen, dass das Sicherheitsleck gefunden und geschlossen wird, sonst kann sich das Spiel wiederholen.

Auch der deutschen Presse ist der Hacker übrigens nicht unbekannt:
„ahmadbady“ greift Homepage der Stadt Aschaffenburg an
Hacker „ahmadbady“ hat Server in Teheran genutzt

[Focus-Flamepoint]

 Nun kann man auch wieder Entwarnung geben. Das Forum ist wieder komplett aufgebaut, noch in der Testphase, aber es ist online!
 Hartmut hat es tatsächlich geschafft, einen Tag nach dem Hack Angriff das Forum wieder zu öffnen. Er ist auf Zack, eben der fähigste
 Admin, der mir bekannt ist! 

 Synthesen sind auch noch da...

 mfg

[Mephisto]

Wirklich erstaunlich wie schnell Versuchschemie wieder zurück ist.

Ebenfalls erstaunlich ist das Sendungsbewusstsein des Hackers. Auf seinem Webspace hält er verschiedene Dateien online, u.a. auch selbst gemachte Videos über Rootkits und das Eindringen in ein CPanel:
http://ahmadbady.persiangig.com/video/

Aber bitte nicht die Dateien in den anderen Ordnern anklicken. Ich weiß nicht ob sie Schadcode enthalten und möchte nicht unfreiwillig sein Treiben unterstützen.

[Apolloc]

Ich würde sagen der Typ ist entweder ein verrückter oder sehr dreist...