Erfolgreicher Hacker-Angriff auf proggen.org
Verfasst: Mi Feb 19, 2014 5:42 pm
Moin,
Proggen.org ist Ziel eines erfolgreichen Hackangriffes geworden, der leider erst sehr spät aufgefallen ist.
Ich habe den Server noch nicht vollständig untersucht, hier geht erstmal nur die Information raus, was vorgefallen ist und wie der bisherige Stand ist.
Nun zum einen ist nicht der proggen.org-Server selbst gehackt worden, sondern ein zu proggen.org gehörender Server. Entsprechend ist proggen.org selbst weiterhin unverändert online.
Dieser Server läuft bereits länger mit, wird derzeit aber kaum aktiv genutzt. Er bestätigt bis heute täglich seine Funktion, was dazu führte, dass ich ihn auch nicht groß kontrollierte, da er lediglich die Seite status.proggen.org hostet, die ebenfalls weiterhin funktionierte und als Datenablage dient.
Der Angriff selbst fand am 30. Oktober 2013 statt.
Beim Angriff konnte der Angreifer Daten auf den Server ablegen. Die Protokolle geben dabei zwei Hinweise, dass der Angriff scheint über einen Bot automatisch durchgeführt worden ist, denn erfolglose Aktionen (Befehl nicht gefunden/Keine Zugriffsrechte) wiederholen sich. Ein Mensch hätte Befehle sicherlich nicht auf andere Dateien wiederholt, wenn der eigentliche Befehl nicht installiert ist.
Nichtsdestotrotz konnte der Angreifer auf dem Rechner Verzeichnisse anlegen und versuchte mehrfach Programme zu kompilieren (was mangels Compiler nicht ging).
Es wurde versucht auf den Server einen Bot zu installieren, was scheinbar misslang. Der Traffic-Verbrauch lässt jedenfalls darauf schließen, dass der
Server selbst nur noch in der Lage war mir täglich zu mailen und eben die Status-Seite zu präsentieren.
Soweit ist die Sache für User von proggen.org also zunächst vollkommen uninteressant.
Dieser Server wurde jedoch auch genutzt, um täglich Backups von proggen.org zu speichern. Das ist rückblickend ein Fehler, da der Server nicht mehr auf dem aktuellen Stand war, als ich das Backup-Skript so einrichtete, täglich das Backup dort abzulegen.
Da der Angreifer Zugriff auf den Server hatte, könnte er entsprechend auch Zugriff auf die Backups gehabt haben. Das letzte Backup wurde am 17. November erfolgreich hochgeladen. Im Backup eenthalten sind die Datenbanken des Wikis, des Forums, die Bugzilla-Datenbanken und Subversion-Repositories und in den Datenbanken entsprechend die Account-Namen, E-Mailadressen, sowie hashverschlüsselt die Passwörter der Accounts. Die Subversion-Repositories enthalten prinzipbedingt Passwörter im Klartext. Wer die von mir erhaltenen Subversion-Passwörter also anderswo genutzt hat, sollte diese überdenken.
Den Access-Zeiten und Change-Zeiten zufolge wurden auf die Backupdateien nicht zugegriffen, was bedeutet, dass die vorhandenen Backups nicht geöffnet oder kopiert wurden.
Der Angriff erfolgte mit dem Ziel, den Server zu übernehmen, was misslang. Die Backupdateien waren offensichtlich nicht das Ziel, sie wurden wie die anderen Dateien im entsprechenden Verzeichnis nicht angefasst. Ich gehe derzeit davon aus, dass das Verzeichnis vom Angreifer nicht geöffnet wurde. Ein automatisiertes Skript wird auch nicht nach einer selbstgeschriebenen Backuplösung suchen. Der Angreifer hat deutliche Spuren hinterlassen (inkl. IPs) und den Server faktisch größtenteils außer Betrieb gesetzt, war also nicht unbedingt unauffällig - es ist lediglich lange nicht aufgefallen, weil der Server keine tragende Rolle spielt.
Die Protokolle ergeben, dass er mehrfach (erfolglos mangels Rechten) den Befehl touch verwendet hat, um Zugriffszeiten zu manipulieren. Allerdings nie auf die Backups, wie allgemein keine Hinweise gibt, dass sich der Angreifer im Backup-Verzeichnis umgesehen hat. Mit 'touch' lässt sich der 'Change'-Zeitpunkt nicht manipulieren. Von der vorgefundenen Situation, gehe ich davon aus, dass keine Gefahr droht.
Ich kann jedoch nicht prüfen, ob ältere, bereits automatisch gelöschte Backups nicht zugegriffen wurden, bevor sie gelöscht wurden. Hier habe ich alles so vorgefunden, wie es zu erwarten war, es gibt auch hier keinen Hinweis auf Manipulation, sondern nur die theoretische Möglichkeit.
Und an der Stelle befindet sich ein theoretisches Risiko für User, die vor dem 17. November bei proggen.org registriert wurden. Für User, die nach dem 17. November 2013 zu uns gestoßen sind, gibt es überhaupt kein Risiko.
Sollte ich zu anderen Erkenntnissen kommen, werde ich mich nochmals per Rundmail melden. Ansonsten sind Nachfragen im Forum willkommen.
Proggen.org ist Ziel eines erfolgreichen Hackangriffes geworden, der leider erst sehr spät aufgefallen ist.
Ich habe den Server noch nicht vollständig untersucht, hier geht erstmal nur die Information raus, was vorgefallen ist und wie der bisherige Stand ist.
Nun zum einen ist nicht der proggen.org-Server selbst gehackt worden, sondern ein zu proggen.org gehörender Server. Entsprechend ist proggen.org selbst weiterhin unverändert online.
Dieser Server läuft bereits länger mit, wird derzeit aber kaum aktiv genutzt. Er bestätigt bis heute täglich seine Funktion, was dazu führte, dass ich ihn auch nicht groß kontrollierte, da er lediglich die Seite status.proggen.org hostet, die ebenfalls weiterhin funktionierte und als Datenablage dient.
Der Angriff selbst fand am 30. Oktober 2013 statt.
Beim Angriff konnte der Angreifer Daten auf den Server ablegen. Die Protokolle geben dabei zwei Hinweise, dass der Angriff scheint über einen Bot automatisch durchgeführt worden ist, denn erfolglose Aktionen (Befehl nicht gefunden/Keine Zugriffsrechte) wiederholen sich. Ein Mensch hätte Befehle sicherlich nicht auf andere Dateien wiederholt, wenn der eigentliche Befehl nicht installiert ist.
Nichtsdestotrotz konnte der Angreifer auf dem Rechner Verzeichnisse anlegen und versuchte mehrfach Programme zu kompilieren (was mangels Compiler nicht ging).
Es wurde versucht auf den Server einen Bot zu installieren, was scheinbar misslang. Der Traffic-Verbrauch lässt jedenfalls darauf schließen, dass der
Server selbst nur noch in der Lage war mir täglich zu mailen und eben die Status-Seite zu präsentieren.
Soweit ist die Sache für User von proggen.org also zunächst vollkommen uninteressant.
Dieser Server wurde jedoch auch genutzt, um täglich Backups von proggen.org zu speichern. Das ist rückblickend ein Fehler, da der Server nicht mehr auf dem aktuellen Stand war, als ich das Backup-Skript so einrichtete, täglich das Backup dort abzulegen.
Da der Angreifer Zugriff auf den Server hatte, könnte er entsprechend auch Zugriff auf die Backups gehabt haben. Das letzte Backup wurde am 17. November erfolgreich hochgeladen. Im Backup eenthalten sind die Datenbanken des Wikis, des Forums, die Bugzilla-Datenbanken und Subversion-Repositories und in den Datenbanken entsprechend die Account-Namen, E-Mailadressen, sowie hashverschlüsselt die Passwörter der Accounts. Die Subversion-Repositories enthalten prinzipbedingt Passwörter im Klartext. Wer die von mir erhaltenen Subversion-Passwörter also anderswo genutzt hat, sollte diese überdenken.
Den Access-Zeiten und Change-Zeiten zufolge wurden auf die Backupdateien nicht zugegriffen, was bedeutet, dass die vorhandenen Backups nicht geöffnet oder kopiert wurden.
Der Angriff erfolgte mit dem Ziel, den Server zu übernehmen, was misslang. Die Backupdateien waren offensichtlich nicht das Ziel, sie wurden wie die anderen Dateien im entsprechenden Verzeichnis nicht angefasst. Ich gehe derzeit davon aus, dass das Verzeichnis vom Angreifer nicht geöffnet wurde. Ein automatisiertes Skript wird auch nicht nach einer selbstgeschriebenen Backuplösung suchen. Der Angreifer hat deutliche Spuren hinterlassen (inkl. IPs) und den Server faktisch größtenteils außer Betrieb gesetzt, war also nicht unbedingt unauffällig - es ist lediglich lange nicht aufgefallen, weil der Server keine tragende Rolle spielt.
Die Protokolle ergeben, dass er mehrfach (erfolglos mangels Rechten) den Befehl touch verwendet hat, um Zugriffszeiten zu manipulieren. Allerdings nie auf die Backups, wie allgemein keine Hinweise gibt, dass sich der Angreifer im Backup-Verzeichnis umgesehen hat. Mit 'touch' lässt sich der 'Change'-Zeitpunkt nicht manipulieren. Von der vorgefundenen Situation, gehe ich davon aus, dass keine Gefahr droht.
Ich kann jedoch nicht prüfen, ob ältere, bereits automatisch gelöschte Backups nicht zugegriffen wurden, bevor sie gelöscht wurden. Hier habe ich alles so vorgefunden, wie es zu erwarten war, es gibt auch hier keinen Hinweis auf Manipulation, sondern nur die theoretische Möglichkeit.
Und an der Stelle befindet sich ein theoretisches Risiko für User, die vor dem 17. November bei proggen.org registriert wurden. Für User, die nach dem 17. November 2013 zu uns gestoßen sind, gibt es überhaupt kein Risiko.
Sollte ich zu anderen Erkenntnissen kommen, werde ich mich nochmals per Rundmail melden. Ansonsten sind Nachfragen im Forum willkommen.