Hacker am Werk

16. Mai 2008 von Fabian | kein Kommentar

Ich entschuldige mich dafür, dass dieses Seite und www.amistad-bolivia.info, ca. 35 Stunden offline waren. Grund war ein Hacker der mit der Datenbank gespielt hat. Ich wurde gestern Mittag (bolianischer Zeit) von meinem Provider darauf aufmerksam gemacht, dass die MySQL-Abfragen Abfragen fehlerhaft sind und zeitweilige sogar den Server drohte lahm zu legen. Also Vorsichtsmaßnahme wurden meine Seiten, Datenbanken, etc. offline genommen, Besucher, die in dieser Zeit auf den Blog kamen wurde mitgeteilt, „dass die Seite gesperrt worden ist“

Mein Provider hat mir eine Abmahnung “anderer Art” zukommen lassen:

Absender: Support-ST
Nachricht:
Sehr geehrter Herr Dehmel,

leider mussten wir Ihren Account sperren, da das Regelbetriebsverhalten des Servers immens beeinträchtigt wurde und einige Dienste zeitweise nicht mehr zu erreichen waren. Ihre MySQL-Abfragen sind fehlerhaft und verursachen zu hohe Serverlast (crondump.pl ist fehlerhaft und beendet sich nicht). Bitte nehmen Sie zu diesem Sachverhalt in unserem Ticketsystem Stellung und erläutern Sie uns welche Maßnahmen Sie ergreifen werden um derartige Vorfälle zukünftig zu unterbinden.[...]

Was ist passiert bzw. wie ist er hereingekommen? Darüber habe ich mir gestern den ganzen Tag Gedanken gemacht, auch wusste ich nicht, wie es um die Datenbanken bestellt ist, da ich wegen der Sperrung meiner Daten ebenfalls keinen Zugang mehr hatte, also musste ich auf die Analyse des Providers warten.

In diesem Zeit kam mir ein Gedanke, den ich auch sofort nachgegangen bin, seit gut einer Woche kommt mir hier am Computer so einiges sehr merkwürdig vor. Nur um einige Auffälligkeiten zu nennen: Es musste immer eine CD im Laufwerk liegen, sonst hat Windows gemeckert, weiterhin wurde von Zeit zu Zeit ein Fehler in der w-k-s-m.exe festgestellt, die dann beendet wurde. Das ganze kam mir sehr suspekt vor, so dass ich sofort den Virenscaner angeworfen habe, der hat auch prompt mir 15 Viren und 13 Trojaner gemeldet. Nach der erfolgreichen Desinfizierung, dachte ich gut das war es. Ich sollte mich täuschen!!

Die Fehler traten weiterhin auf. Daraufhin habe ich beim KASonline-File-Scanner so einige Dateien manuell untersuchen lassen, eben auch die besagte w-k-s-m.exe, es ist zwar dabei nicht möglich, die Dateien zu reinigen oder zu entfernen aber es wird einem mitgeteilt, wie es um diese bestellt ist.

Als Ergebnis ist ein Wurm herausgekommen (Worm.Win32.AutoRun.dji), KAS selber konnte mir keine weiteren Informationen bietet auch das Internet war in dieser Richtung sehr dürftig, nur ein paar spanischsprachigen Seiten baten „Hilferufe von anderen Computerbesitzern aber keine Lösung.“

Das war sehr schlecht, was ich herauslesen konnte, dass es sich hierbei um einen sehr aggressiven Wurm handelt, der eine sehr hohe Wiederherstellungsrate hat, also ein einfachen löschen der infizierten Datei reicht nicht aus, weiterhin ist er sehr intelligent und arbeitet in mehreren Schritten, zu erst werden die Sicherheitssysteme des Computers lahm gelegt (Virenscanner, Firewall), als nächster Schritt wird ein „Codekopierer“ eingesetzt, der alle Eingaben die mit der Tastatur durchgeführt werden mitloggt. Diese Daten werden dann an einem Trojaner weitergeleitet der dieses zu einer vom Erschaffer des Wurmes festgelegten Adresse geschickt wurde. Wenn ich mich also oder andere auf einer Webseite, Email-Programm, FTP oder ähnliches angemeldet bzw. Eingeloggt habe, wurden meine Daten gespeichert und abgeschickt. Und somit war mir nun auch klar, wie der Hacker in die Datenbank gelangen konnte.

Gut die Ursache zu kennen ist schon einmal die Basis nun galt es die Schädlinge loszuwerden. Als erstes habe ich es mit dem Abgesicherten Modus probiert, habe auch recht schnell alle seine Dateien und Ableger gefunden und entfernen können. Beim Neustart und der anschließenden Kontrolle musste ich leider feststellen, dass es nichts gebracht hat. Erst durch Zufall bin ich auf eine Internetseite gestoßen, welche einen Onlinecheck mit Active X anbietet, dadurch ist es auch möglich die infizierten Dateien zu entfernen.

Der Scan läuft über die Internetseite, nur müssen vorher die Programmdaten und Updates geladen werden, die das Programm automatisch auf dem Computer speichert. Nun konnte die letzte Schlacht beginnen und ich hoffte innerlich, dass er die Dateien die mir bekannt waren nun auch endlich vom Scanner aufgespürt und vernichtet werden. Und tatsächlich, sie wurden gefunden auch noch ein paar andere. Und nach dem erfolgreichen Desinfizieren und dem obligatorischen Neustart war der Computer wirklich sauber.

Der angesprochene Test ist ein Angebot von Panda Security , fuer den Test ist eine kostenlose Anmeldung notwendig, die aber schnell abgeschlossen ist. Ich muss sagen, dass ich von dem Angebot begeistert bin.

Das, dass System wieder sauber ist haben mir nachfolgend auch noch drei lokale Virenscanner und vier weitere Onlinescanner bestätigt. Für die Reinigung habe ich gut 11 Stunden gebraucht.

Ok das System ist nun sauber, aber was ist mit der Webseite und den Datenbanken?

Nach Rücksprache mit meinem Provider, der nichts auffälliges finden konnte wurde meine Seite wieder freigeschaltet. Da ich aber mir aber wegen der Datenbank nicht sicher war, wurde sie erstmal in den Wartungsmodus gestellt. Der Besucher wird hierbei auf einer zwischengeschalteten Seite mitgeteilt, dass der Wartungsmodus aktiv ist. Dadurch konnte ich in Ruhe die Datenbank Überprüfen.

Aber nach dem das geschehen war, habe ich zu erst erstmal alle Passwörter von den Datenbanken, Emailkonten und dem FTP geändert, da die alten bekannt waren und der Hacker sich somit immer noch frei bewegen konnte. Nach dem ich dieses abgeschlossen habe. Ging die Untersuchung los. Dabei ist mir ein großer Stein vom Herzen gefallen, in der Datenbank vom Blog hat er so gut wie keinen Schaden angerichtet, nur eine Datenbank wurde in Mitleidenschaft gezogen, die für den Bereich „Am meisten gelesen“verantwortlich ist, die Einträge wurden von mir gelöscht und damit war die Datenbank sauber.

Gut im Widget, welches in der Sidebar ausgibt welche Artikel am meisten gelesen wurden sind im Moment keine Daten vorhanden, aber dass wird sich in den nächsten Tagen ändern, ihr müsst nur kräftig lesen

Ganz anders sah es in zwei anderen Datenbanken aus, diese musste ich komplett löschen und die Seiten davon vom FTP nehmen, der Blog ist davon nicht betroffen. Es handelt sich hier bei um phpmyvisites und Crawltrack.

Ich hoffe es läuft wieder alles im grünen Bereich und ich bekomme so schnell nicht mehr ungebetenen Besuch