Hackattacke auf CMBasic.de abgewehrt
11.12.2006: Am 8.11.2006 wurde CMBasic.de kurzzeitig gehackt. Schuld war allerdings nicht mein CMBasic (zum Glück!), sondern ein älteres, leider unsicheres Newsletterskript namens CM68 News. Das Newslettersystem habe ich bis auf weiteres deaktiviert. Für Bestandsnutzer steht auf CM68.de ein Patch zur Verfügung.
Ich konnte die Präsenz in kurzer Zeit wiederherstellen und habe dabei viel über die Methoden der Hacker bzw. Skript-Kids gelernt. Es ist erstaunlich, wie schnell sich derartige »finstere Elemente« auf dem eigenen Webserver einnisten können und welche cleveren Tools es gibt, um die Kontrolle zu übernehmen. Einige dieser Tools konnte ich sicherstellen und werde sie analysieren. Mit diesen Werkzeugen können sogar Amateure auf einfachste Weise Besitz von einer Präsenz ergreifen! Die Angreifer kamen vermutlich aus Russland (die Tools stammen z.T. von dort), aus der Türkei und aus Spanien bzw. Argentinien.
Mitschuld sind auch die Webhoster, die mehrheitlich bisher register_globals leider immer noch auf On gelassen haben. Die Lehre daraus: Man muss vor allem ältere Skripte stets auf Sicherheit überprüfen und/oder einen Dienstleister finden, der register_globals auf Off setzt.
Das Gemeine daran: Die Hackattacke begann erst kurz nachdem die Sicherheitslücke auf www.securityfocus.com veröffentlicht worden war. Die Skript-Kids lauern offenbar auf jede neue Veröffentlichung einer Sicherheitslücke, um mithilfe dieser Informationen zuzuschlagen. Ganz schön perfide!
CMBasic ist von diesem Sicherheitsproblem nicht betroffen!