Puh, so lange sollte mein heutiger Abend eigentlich nicht werden. Aber nun gut, ist halt nun mal so. Jedenfalls bin ich nun zufriedener als vor beispielsweise vier Stunden.
Heute gegen 18:30 Uhr begann jemand meinen Server zu hacken. Mit Erfolg! Ich bemerkte es durch Kommentare anderer gegen 19:30 Uhr. Sämtliche Startseiten waren durch eine andere Startseite ersetzt worden auf der zu lesen war dass dieser Server gehackt wurde.
Ich hab natürlich gleich erstmal Panik gekriegt, alle nicht lebensnotwendigen Dienste runtergefahren und mich daran gemacht in den vielen, vielen Logs danach zu suchen
1. wie der Hacker bei mir einbrechen konnte
2. wer das überhaupt war und
3. was er alles manipuliert und ausgelesen hat.
Bevor ich jetzt hier stundenlang erläutere wie alles ablief hier nur eine kurze Beantwortung der obigen Fragen:
1. durch einen Bug in dem von mir verwendeten Serververwaltungstool vhcs, durch den es möglich war einen neuen Benutzer mit Administratorrechten, für vhcs, zu erstellen ohne selbst welche zu haben.
2. es mag komisch klingen, aber: ein Skript-Kiddie aus der Türkei mit dem Pseudonym “Starhack”. Insofern hat er sich auch damit begnügt die Passwörter zu ändern und die Startseiten auszutauschen. Viel mehr hätte er sicher sowieso nicht draufgehabt.
3. im Endeffekt weniger als erwartet. Sie haben sich zwar via FTP eingeloggt, aber bis auf eine Ausnahme nur die Startseiten ausgetauscht. Die eine Ausnahme war eine rumliegende Datei namens acc.txt. Wahrscheinlich vermuteten sie darin irgendwelche Passwörter. Was war im Endeffekt drin? Ein Counterstand in Form einer vierstelligen Zahl. Des weiteren hatten sie noch Zugriff auf das Webfrontend von vhcs und konnten somit lesen wer meine Kunden sind. Viel mehr dann aber auch nicht. Insofern war’s für mich auch recht einfach das Ganze wieder in Ordnung zu bringen.
Es hat trotzdem alles seine Zeit gedauert und na ja, jetzt ist’s auch schon wieder spät.