Da hat mich wohl jemand besucht. Als ich gestern im Adminbereich war, prangt dort (Menü Tellerrand) „Hacked By GHoST61 – JackaL“. Da war ich doch sehr überrascht, das jemand soweit gekommen ist. Respekt vor solchen Menschen die so etwas hinbekommen und dann auch keinen Schaden anrichten. Ich habe zu wenig Programmierkenntnisse um so etwas selbst machen zu können.
Ich suchte nach dem Begriff „Hacked By GHoST61 – JackaL“ mit einer bekannte Suchmaschine, die mittlerweile eine Monopolstellung hat und dort fand ich ziemlich viele Seiten die gehackt geworden sind. Seltener deutschsprachige Seiten – dafür aber ziemlich viele Joomlaseiten. WordPress-Blogs waren eher seltener darunter.
Manchmal sind solche Ereignisse ganz gut, um eine nachlässige Sicherheitspolitik aufzuweisen. Ab er dann fängt die Suche im trüben Wasser der Datenbank, Dateistruktur und des Content an.
Nun beginnt die Suche im trüben Wasser nach dem BackdoorImmerhin hat der Hacker die Seiten bzw. den Blog nicht zerstört. Vielen Dank! Normalerweise prangt ja direkt auf der Startseite „Hacked By GHoST61 – JackaL“ mit einem netten Bildchen, damit auch jedem Besucher klar ist – hier wurde die Seite gehackt. So sah ich es eher als sportliche Herausforderung an, mich auf die Suche nach der Lücke zu machen.
Fündig wurde ich schon mal in der Datenbank. Dort waren 18 Einträge in der wp_table_statistics_raw und einiges deutete darauf hin, es muss ein Plugin sein.
In die engere Wahl kam das Plugin „Lightbox 2“, dort besteht meines Erachtens die Möglichkeit über JavaScript den Code einzuschleusen. Ich habe einfach die Tabellen wo der Begriff „GHoST61“ stand gelöscht. Danach alle Plugins upgedatet und die .htaccess Sicherheitstechnisch angepasst, die Passwörter geändert (Datenbank) und stärker verschlüsselt. Vermutlich habe ich nicht alle Backdoors geschlossen, aber den Leuten bei Cern ging es mit den Hackern auch nicht viel besser. Sehr beruhigend.
Leider stand der Text immer noch im Adminbereich, also das Verzeichnis durchforstet und siehe da – alle index.php (Templates, wp-admin-Bereich …) waren verändert (über das Veränderungsdatum habe ich es rausgefunden). Die habe ich durch den letzten Backup ersetzt und nun schaut es wieder ziemlich gut aus.
Mal sehen ob mir GHoST61 die nächste Lücke zeigt – solange er nicht meinen ganzen Blog platt macht. ;-)
Er muss ziemlich gut in Übung sein, denn er hat am 11.09.08 ziemlich viele Schweizer Seiten gehackt: WWW Defacements News Flash
Davon mal abgesehen finde ich im Gegensatz zum Hacker gewisse Schnüffeleien von grossen Firmen viel gefährlicher. Dazu gehört mittlerweile auch Google und was fast noch schlimmer anmutet ist, das der Firefox Daten an Google weitergibt. Siehe: Firefox sendet wie Chrome Daten an Google (Heise)
Ich persönlich würde vom Google-Browsers Chrome abgeraten – ausser man will ausgeschnüffelt werden. Dazu schreibt das Bundesamt für Sicherheit in der Informationstechnik: BSI-Position zu Google-Chrome