Guten Abend liebe Leute,
gestern morgen kurz nach 04:00 Uhr war der Astrotreff das Ziel eines zum Teil erfolgreichen Hackerangriffes.
Nach Kenntnisnahme der Situation haben wir folgende Massnahmen durchgeführt:
1. Abschaltung der Forenserver kurz nach 07:00 Uhr
2. Sicherung des kompromittierten Zustandes der Server für Analysen
3. Restore des letzten als sicher angenommenen Backup von 01:45 Uhr
4. Wiederinbetriebnahme der Astrotreff Server kurz nach 08:00 Uhr
5. Informationen an das Moderatorenteam
Danach begann die Auswertung des Angriffes.
Der Angreifer suchte bewusst nach Seiten mit upload Funktionalität unter https://www.google.com.tr/
Passend zum Referer (verweisende Webseite) kam der "Besuch" von einer IP im ehemaligen Urlaubsparadies Türkei. Möglich ist natürlich, dass dieser Rechner missbraucht wurde für den Angriff, sein Besitzer also von der Aktion nichts weiss (aber eher unwahrscheinlich, da der Rechner vorher von der Google Suche kam ... nuja).
Protokolliert wurden eine Menge Versuche, der Forensoftware SQL Anweisungen unterzujubeln, teilweise gelang dies auch. Verschiedene Schwachstellen der Forensoftware sind bekannt und nicht mehr einfach zu schliessen.
<font color="yellow"><b>Es wurden keine Passwörter ausgelesen, auch keine verschlüsselten.</b></font id="yellow"> Sämtliche Select Anweisungen quittierte der Server mit Errors.
Es wurden aber Daten im Forum überschrieben, nachdem der Angreifer die richtigen Feldnamen erraten hatte.
Zuerst wurden alle Benutzernamen überschrieben.
Dann wurden alle Passwörter neu gesetzt (da sie ja nicht ausgelesen werden konnten).
Die neu gesetzten Passwörter konnten aber nicht funktionieren (da sie unverschlüsselt direkt in die Datenbank geschrieben wurden, es funktionieren aber nur die von der Forensoftware verschlüsselten Passwörter).
Danach schaute sich der Schurke noch etwas im Forum um ... sah sicher lustig aus, weil nun alle User den gleichen Namen hatten und dann verschwand er um 04:33:05
Wir haben mehrfach Glück gehabt.
Erst vor 2 Wochen tauschten wir die komplette Serverhardware incl. Backups aus, alles war frisch aufgesetzt und Backups waren getestet.
Eine Web Application Firewall war schon vorbereitet, sie filtert nun alle Zugriffe auf den Astrotreff nach fiesen Angriffsmustern.
Es kann aber irgendwann mal schlimmer kommen (das passierte schon ganz anderen Serverbetreibern).
Also bitte verwendet nicht auf allen Internetplattformen das gleiche Passwort, damit für den Fall einer Kompromittierung nicht alle weiteren Accounts ebenfalls offenliegen (mag sein, dass Ihr diesen Hinweis aus den Medien schon kennt - aber man weiss ja nie 
Vielen Dank fürs Lesen bis hierher und einen schönen Abend
wünscht
matss
