Hacked By GHoST61 – JackaL

Da hat mich wohl jemand besucht. Als ich gestern im Adminbereich war, prangt dort (Menü Tellerrand) „Hacked By GHoST61 – JackaL“. Da war ich doch sehr überrascht, das jemand soweit gekommen ist. Respekt vor solchen Menschen die so etwas hinbekommen und dann auch keinen Schaden anrichten. Ich habe zu wenig Programmierkenntnisse um so etwas selbst machen zu können.
Ich suchte nach dem Begriff „Hacked By GHoST61 – JackaL“ mit einer bekannte Suchmaschine, die mittlerweile eine Monopolstellung hat und dort fand ich ziemlich viele Seiten die gehackt geworden sind. Seltener deutschsprachige Seiten – dafür aber ziemlich viele Joomlaseiten. WordPress-Blogs waren eher seltener darunter.

Manchmal sind solche Ereignisse ganz gut, um eine nachlässige Sicherheitspolitik aufzuweisen. Ab er dann fängt die Suche im trüben Wasser der Datenbank, Dateistruktur und des Content an.

hacking.jpg

Nun beginnt die Suche im trüben Wasser nach dem Backdoor

Immerhin hat der Hacker die Seiten bzw. den Blog nicht zerstört. Vielen Dank! Normalerweise prangt ja direkt auf der Startseite „Hacked By GHoST61 – JackaL“ mit einem netten Bildchen, damit auch jedem Besucher klar ist – hier wurde die Seite gehackt. So sah ich es eher als sportliche Herausforderung an, mich auf die Suche nach der Lücke zu machen.

Fündig wurde ich schon mal in der Datenbank. Dort waren 18 Einträge in der wp_table_statistics_raw und einiges deutete darauf hin, es muss ein Plugin sein.

In die engere Wahl kam das Plugin „Lightbox 2“, dort besteht meines Erachtens die Möglichkeit über JavaScript den Code einzuschleusen. Ich habe einfach die Tabellen wo der Begriff „GHoST61“ stand gelöscht. Danach alle Plugins upgedatet und die .htaccess Sicherheitstechnisch angepasst, die Passwörter geändert (Datenbank) und stärker verschlüsselt. Vermutlich habe ich nicht alle Backdoors geschlossen, aber den Leuten bei Cern ging es mit den Hackern auch nicht viel besser. Sehr beruhigend.

Leider stand der Text immer noch im Adminbereich, also das Verzeichnis durchforstet und siehe da – alle index.php (Templates, wp-admin-Bereich …) waren verändert (über das Veränderungsdatum habe ich es rausgefunden). Die habe ich durch den letzten Backup ersetzt und nun schaut es wieder ziemlich gut aus.

Mal sehen ob mir GHoST61 die nächste Lücke zeigt – solange er nicht meinen ganzen Blog platt macht. ;-)

Er muss ziemlich gut in Übung sein, denn er hat am 11.09.08 ziemlich viele Schweizer Seiten gehackt: WWW Defacements News Flash

Davon mal abgesehen finde ich im Gegensatz zum Hacker gewisse Schnüffeleien von grossen Firmen viel gefährlicher. Dazu gehört mittlerweile auch Google und was fast noch schlimmer anmutet ist, das der Firefox Daten an Google weitergibt. Siehe: Firefox sendet wie Chrome Daten an Google (Heise)

Ich persönlich würde vom Google-Browsers Chrome abgeraten – ausser man will ausgeschnüffelt werden. Dazu schreibt das Bundesamt für Sicherheit in der Informationstechnik: BSI-Position zu Google-Chrome

11 Antworten auf „Hacked By GHoST61 – JackaL“

  1. dass der chrome google mit daten versorgt, ist ja nichts neues. das ist mit sicherheit der grund, warum es diesen browser überhaupt gibt. aber dass der FF auch daten sendet ist mir neu! danke für die info!!! :) werde mein surfverhalten danach ausrichten!

  2. Hallo,

    bin Laie in diesem Bereich, daher mal die Frage kann man den Absender des
    Hacked By GHoST61 ausfindig machen.

    mfg
    Harry

  3. hi, das einzige was ich sagen kann ist,das GHoST61 aus der türkei stammt,und er richtet keinen schaden an, keiner weiss wer GHoST61 aber er ist zu 100% türke,das weiss ich,weil ich auch der türkei stamme, der vater staat (türkei) ist hinter ihm,aber er wurde bis jetzt noch nie erwischt, aber respekt vor ihm er hackt alle ,aber kein schaden,

  4. Wie wäre es, wenn die Scripte einfach aktuell gehalten werden, dann sollten solche „Hacking“-Angriffe auch der Vergangenheit angehören.

  5. Nachdem ich Chrome getestet habe und auch schon gmail als EmailAdress hat habe ich nun einiges heruas bekommen was man da alles von sich geben kann, das ist echt schlimm. Habe den ganz Mist schnell wieder entsorgt.

  6. Glaube ich eher nicht. Sonst hätte er den Blog komplett plattgemacht. Hatte eine kleinere Lücke herausgefunden. Gefährlich sind die von denen man nichts merkt!

  7. Ja leider ist das auf meinen Seiten auch schon ein paarmal passiert. Frage mich was die Leute dabei empfinden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*