Viele von euch haben es gestern bereits mitbekommen und viele ebenso bei mir gemeldet (danke!). Leider ist LangweileDich.net gestern das Opfer eines Hackerangriffs geworden. Eine schlimme Bezeichnung für letztlich ein paar Zeilen bösen Quellcodes, der um 1:50 Uhr morgens in mehrere PHP-Dateien von zwei WordPress-Installationen gespielt wurden.
Ich habe so schnell ich konnte sämtliche Inhalte gelöscht und das Sicherheitssystem neu aufgesetzt, bzw. verstärkt. Allerdings hatte scheinbar Google und seine angeschlossenen Browser länger Probleme damit als mir lieb ist. Google selbst hat die Seite als „attackierend“ eingestuft, da gestern in mehr als fünf Fällen Malware gefunden wurde. Das war, weil dieser böse Code auch im Footer der Seite (und somit sämtlichen Unterseiten) versteckt war. Google merkt sich das eigentlich für 90 Tage. Damit das keine 90 Tage entsprechend angezeigt wird, lief eine Neuüberprüfung, die etwas gedauert hat, jetzt sollte aber alles wieder fein sein.
Bleibt mir nur euch zu sagen, dass LangweileDich.net euch nichts Böses will. Das schlimmste daran ist eigentlich, dass man plötzlich komplett datenparanoid wird… Die Mail letztens hätte ich nicht öffnen sollen… Das neue Plugin vielleicht unsicher? Die zugeschalteten Ads? Wieso auf einmal so unnatürlich viel Spam im Blog? Alles böse.
Da ich dieser Paranoia nachkommen möchte und euch weiterhin ein total sicheres Kurzweilen schaffen will, wird es heute ein paar kleinere Beiträge hier geben, damit ich dem Übel auf die Wurzel gehen kann.
Passiert. Und so lange man Ads von außen einbindet, kann man sich auch nie ganz sicher sein.
Ja, und genau das ist wirklich dumm. Ist ja nicht so, dass ich hier russische Casinos bewerbe… :(
“ … dass LangweileDich.net euch nichts Böses will … “ abgesehen davon, dass man von seiner Arbeit abgehalten wird ;)
@Moody: schuldig im Sinne der Anklage!
Wäre vielleicht noch ganz hilfreich wenn du die Leser aufklärst über welche Schwachstelle letztendlich der Hack durchgeführt wurde. So können andere WP-Nutzer mal evtl vor der selben Attacke geschützt werden.
@Heiko: aber die Schwachstelle kenne ich nicht. Ich kann in keiner Weise nachvollziehen, wie der Zugriff stattfand. Ich weiß nur, welche Schritte über welche Accounts am FTP zu welcher Zeit durchgeführt wurden.
Und dass letztlich Code mit der Schreibweise „Google Serch Bot“ vertreten war, so ist es ersichtlich.
Echt armselig von den sog. Hackern – aber wohl eher Kiddies. Kannst du vielleicht noch beschreiben, was du da jetzt alles im einzelnen unternommen hast?
Hatte ich auch mal den scheiß. Aber dude hast du auch soviel Spam aktuell? Bei mir kommen hunderte von Comments am Tag rein ich bin nur noch am löschen… :/
@Tobi: absolut. Ich bin den FTP-Server und seine Logfiles durchgegangen. In jegliche Dateien, die zum auffällig gleichen Zeitpunkt nachts verändert wurden oder eben im Logfile aufgetaucht sind, habe ich hinein geschaut. Meist war der identische Fremdcode drin, den ich entfernt habe. Daraufhin habe ich den Cache des Blogs neu aufgesetzt, das Sicherheitsplugin Wordfence installiert und vor allem meinen Zweitblog mit Sicherheitsplugins ausgestattet (darüber kam der „Angriff“). Dazu FTP-Accounts gelöscht, bzw. Passwörter von allem geändert. Danach bei Google den Review des Status beantragt. Eine Nacht später scheint alles wieder gut.
@Sumit: aber hallo! Seit einigen Tagen sind es hunderte pro Tag. Sehr sehr nervig.
wow .. zum glück lies sich auch bei mir – als absoluter computerbediennoob – alles einfach und selbständig entfernen .. ein kleiner schock, dass meine dem ende zu gehende diplomarbeit futsch sein könnte war aber doch da .. SCHLIMMER war nur, dass nach der bereinigung langweiledich.net auf der „attackieren“-liste stand .. ein beinahe-herzinfarkt hat gestern den nächsten gejagt! ;o)
So unnötig! Wer kommt auf die bescheuerte Idee einen Freizeit-Blog zu attackieren? Einen Blog, der armen Usern wie mir lediglich hilft für ein paar Momente am Tag dem tristen Alltag zu entfliehen?
Schade, sowas. Weiterhin viel Erfolg beim Bereinigen und Wiederaufsetzen und was du nicht alles noch tun musst. Danke für deine Mühen.
Grüße!
@schmii: hattest du den identischen Fall (also auch mit diesem „Google Serch Bot“)? Hoffe, bei dir ist auch alles wieder im reinen.
@w00t: aktuell schaut alles wieder besser aus und meine Nerven sind auch wieder einigermaßen eingefangen. Aber tatsächlich verstehe ich den Sinn nicht dahinter. Aber danke für die aufbauenden Worte!
Das WP Blog meiner Schwester wurde in den letzten zwei Wochen auch zweimal gehackt. Die kamen über eine Sicherheitslücke in einem Theme rein und haben den Webserver dann zum Spam versenden genutzt.
Gings bei Dir auch darum?
Ich vermute, die suchen automatisiert nach Blogs mit WP und ggf. entsprechendem Theme um dann den Scanner einen Angriff auf bekannte Exploits ausführen zu lassen.
@McClaine: so einen Versand konnte ich nicht registrieren. Denke aber auch, dass es über das Theme kam, kann es aber leider nicht genau sagen.
Wir haben das dadurch mitbekommen, dass sich 1&1, (ist so ein all-inclusive Webgedöns eben) gemeldet hat weil über ihren Zugang mails verschickt wurden bei denen 20% der Empfänger nicht erreichbar waren.
Sonst wär uns das wohl nicht aufgefallen… Ich schätze die nehmen dann die Logindaten die WP in der Datenbank speichert.
Kaputtgemacht haben die bei ihr allerdings nichts.
Ah, das habe ich vorhin tatsächlich auch woanders gelesen. Das scheint bei mir aber nicht der Fall gewesen zu sein, zumindest habe ich nichts davon mitbekommen. Alles extrem sinnlos und blöd!