Letzte Woche konnte ich plötzlich nicht mehr per FTP auf meinen Blog zugreifen. Nachdem ich im Admin Menü meines Hosters das FTP-Passwort zurücksetzte, ging alles wieder. Trotzdem sandte ich ein Mail an den Support. Dies kreuzte sich mit folgendem (gekürzten) Mail:

Sehr geehrter Kunde

Ihre Webseite wurde in den letzten Tagen Ziel eines Hackangriffs. Weltweit sind unzählige Webseiten von dieser Hackangriffswelle betroffen, unglücklicherweise auch Ihre Kundenwebseite bei Hoststar. Wir haben Ihre Webseite analysiert und können wie folgt Stellung nehmen:

Sicherheitsproblematik

Am häufigsten tritt das Problem bei Webseiten auf, bei welchen das FTP sowie das mySQL Passwort identisch sind. Durch diese Sicherheitslücke kann das mySQL Passwort sowie der Username von Hackern ausgelesen werden. Mit diesen Informationen können dann Daten auf dem FTP Server manipuliert werden.

Ebenso können bei Webapplikationen (veraltete Versionen, unsichere Drittanbieter Module etc.) sowie bei unsauber programmierten Scripts dieselben Sicherheitslücken entstehen. Die grundsätzliche Serversicherheit wird dadurch nicht beeinträchtigt und ist auch nicht betroffen.

Folgende Sicherheitsmassnahmen sind SOFORT durchzuführen:

Wir empfehlen Ihnen, sofern vorhanden, ein Backup Ihrer Webseite, welches älter als der 6. Januar 2009 sein sollte, auf den Server zu laden.

Ändern Sie unbedingt alle Passwörter (Datenbank (mySQL), Joomla, FTP, etc.)!
FTP und mySQL Passwort sollten NIE identisch sein!
Wir haben das FTP Passwort bereits für Sie zurück gesetzt, …

Weitere Vorkehrungen Ihrerseits:

… Definieren Sie möglichst nie die CHMOD Rechte 777 (Vollzugriff), da diese Einstellung ein sehr grosses Sicherheitsrisiko darstellt. Lassen Sie den PHP SafeMode (Erklärung 1) nach Möglichkeit durch uns aktivieren, um zu verhindern, dass Dateien dem User wwwrun zugeordnet werden können.

Erklärung 1 – Safe_mode ON verbietet PHP Dateien zu lesen (und zu schreiben), die einem anderen Benutzer gehören. Auch darf PHP nicht in Ordner schreiben, die nicht dem gleichen Benutzer gehören, wie der, der unter dem PHP (wwwrun) arbeitet. Wenn der PHP Safe Mode deaktiviert wurde, ist dies möglich und erlaubt via Sicherheitslücken schädliche Codes ins Script einzuschleusen! …

Weitere Sicherheitsvorkehrungen:

Hoststar führt ab sofort einen erhöhten Sicherheitscheck auf allen Webseiten ein, um weitere Hackangriffe zu verhindern. Ebenso werden wir diese Angriffe den zuständigen Stellen/Behörden melden, um so die internationale Fahndung zu unterstützen.

Wir hoffen, Ihnen mit diesen Informationen weiterhelfen zu können und stehen Ihnen bei Fragen jederzeit zur Verfügung.

Freundliche Grüsse

Hoststar – Multimedia Networks AG (Switzerland)

Inhaltlich sicher ein Massenmail, aber vielleicht gibt es ja noch mehr Leute da draussen, die bisher das gleiche Passwort für die WordPress Datenbank und den FTP Zugang verwendeten. Nun, ich habe also mal das Passwort für die SQL Datenbank und das FTP Passwort separat geändert. Auf ein Zurückspielen des Backups habe ich verzichtet, dafür alle wichtigen Dateien kurz gecheckt und konnte keine verdächtigen Dinge feststellen, wenigstens nichts Gleiches wie ich bei einer ähnlichen Attacke vor über einem Jahr festgestellt hatte.

Jetzt muss ich nur noch die CHMOD Geschichte endlich mal in den Griff kriegen. Mit den Ordnerberechtigungen kämpfe ich seit dem ersten Tag an dem ich WordPress nutze. Grundsätzlich bin ich froh, dass Hoststar rasch reagierte, auch wenn ich das e-mail einen Tag früher erwartet hätte.

Verwandte Beiträge:

50 km, Sushi und Harry Potter ! Die Headerbilder in diesem Blog ! Die CHMOD Einstellungen für WordPress ! Die MTB Schwierigkeitsgrade (Teil II) ! Die kleine Abendrunde – Schneller !