Es gab einen Einbruch auf dem Webserver von so36.net (IP Adresse 83.223.73.113). Auf diesem Server befinden sich die Homepages von diversen Projekten und Initiativen. Der Einbruch erfolgte wahrscheinlich durch einen Spam-Bot.

Es gab einen Einbruch auf dem Webserver von so36.net (IP Adresse 83.223.73.113). Auf diesem Server befinden sich die Homepages von diversen Projekten und Initiativen. Die Ursache für den Einbruch ist mit hoher Wahrscheinlichkeit ein von unseren Nutzer_innen programmiertes PHP-Skript welches es versehentlich erlaubte fremden Quellcode auszuführen.

Der Einbruch betrifft ausschließlich diesen Server. Nutzer_innen die dieses System nicht nutzen, sind von dem Problem de-facto nicht betroffen, wir haben uns aber dennoch entschieden alle Nutzer_innen über den Vorfall zu informieren.

Seit wann bestand das Problem?

Die letzten Einträge die wird gefunden haben stammen vom 8. November 2010. Weiter zurück reichen unsere Aufzeichnungen nicht. Der Zeitpunkt deckt sich aber etwa mit dem Zeitpunkt an dem uns erste Unregelmäßigkeiten an dem Server aufgefallen sind. Es kann davon ausgegangen werden das der eigentliche Angriff irgendwann im Oktober stattfand.

Da wir aus Datenschutz/Privacy gründen die Zugriffe auf den Webserver nur begrenzt und anonymisiert aufzeichnen, können wir den genauen Verlauf des Einbruchs nicht mehr nachvollziehen.

Warum ist das nicht eher aufgefallen?

Wir haben das Problem ernst genommen, sind jedoch zuerst nicht davon ausgegangen das Schadsoftware auf den Server hochgeladen wurde, sondern das der Spam-Versand über ein fehlerhaftes Kontaktformular ausgeführt wird. Da der Spam-Versand wellenartig und unregelmäßig erfolgte war es recht schwer festzustellen ob Änderungen die wir an der Server-Konfiguration vorgenommen haben zum Erfolg geführt haben oder nicht. Durch unsere anfängliche These wie der Spam Versand zustande kommt, haben wir an der falschen Stelle gesucht. Nachdem die Server-IP wiederholt auf einer Spam-Blacklist gelandet ist, war klar das dass Problem noch nicht behoben ist. Anfang Dezember haben wir den Server erneut untersucht. Zufällig lief in dieser Zeit der Spam-Versand und wir sind dabei auf die Schadsoftware gestoßen.

Was wurde gemacht?

An dieser Stelle können wir nur mutmaßen. Derzeit sieht es so aus als ob die Angreifer_innen den Server lediglich zum Spam-Versand genutzt haben. Prinzipiell können wir nicht ausschließen das die Angreifer_innen auch versucht haben auf persönliche Daten / Foren / Datenbankinhalte zuzugreifen. Nach allem was wir bisher gefunden haben ist das aber eher unwahrscheinlich. Nach bisheriger Analyse handelt es sich um einen automatisierten Angriff von Spammern, die in der Regel kein Interesse an persönlichen Daten haben.

Konkret war eine Domain betroffen, die auch die Lücke enthielt. Dort wurde durch die Angreifer_innen Software hinterlegt die zum automatisierten Spam-Versand genutzt werden kann, sowie eine sogenannte PHP-Shell die es ermöglicht beliebige Befehle (mit den Rechten des Webservers auf dem Server auszuführen - wie z.B. Dateien zu öffnen, oder zu verändern.

Im Rahmen der Untersuchung des Einbruchs sind wir noch auf zwei weitere PHP-Shell Skripte gestoßen, wobei noch nicht klar ist ob die in einem Zusammenhang mit dem Einbruch stehen.

Welche Konsequenzen hat der Einbruch?

Wir werden die Konfiguration des jetzigen Webservers so anpassen, das Programmierfehler in PHP-Skripten nicht mehr so leicht auszunutzen sind. An dieser Stelle müssen wir einen Kompromiss zwischen Sicherheit und Benutzbarkeit des Systems finden.
Des Weiteren nehmen wir keine neuen PHP-basierten Webseiten an, die selbst programmiert / oder gewartet sind. Als Alternative werden wir in Zukunft ein von uns administriertes Wordpress-System zur Verfügung stellen, in dem Leute eigene Inhalte hinterlegen, aber keine Softwareveränderungen vornehmen können.
Für Projekte die nicht öffentlich sind, oder nicht für die Öffentlichkeit bestimmte persönliche Daten enthalten, werden wir bis Ende Januar einen speziell gehärteten PHP-Webserver aufbauen. Leider können wir diesen Service nicht allen Projekten anbieten, weil uns schlicht die Hardware-Resourcen dafür fehlen.

Wir appellieren im Rahmen dieses Vorfalls wieder an unsere Nutzer_innen verantwortungsvoll mit ihren persönlichen Daten umzugehen. Wir sind natürlich immer sehr darum bemüht die Daten unserer Nutzer_innen zu schützen, allerdings können und wollen wir keine Verantwortung dafür übernehmen. Ein Vorfall wie jetzt kann immer passieren und in diesem Bewusstsein sollten die Resourcen genutzt werden. Für interne Kommunikation ist eine dezentralere Infrastruktur wie ein verschlüsselter E-Mail Verteiler sicher besser geeignet, als ein Forum auf einem öffentlichen Webserver. Eine ausführliche Position von uns zu diesem Thema findet Ihr hier.

Für Rückfragen stehen wir gerne zur Verfügung.