Redaktion: Was genau ist passiert?
TechAdmin: Es hat sich ein unbekannter Zutritt auf unseren Server verschafft und in einige Dateien ein Java Script implementiert.
Redaktion: Ist dadurch ein Schaden entstanden?
TechAdmin: Ja und Nein. Wir haben durch dieses Java Script unseren Pagerank und alle Backlinks verloren. Dadurch ist im Prinzip ein Jahr Search Engine Optimization arbeit im Arsch. Das Forum selber ist unversehrt und es fehlt auch nichts.
Redaktion: Sind irgendwelche sensiblen Daten mitgenommen worden?
TechAdmin: Nein. Es wurden weder Backups noch die Datenbank kopiert. Das heißt der Angreifer hat nichts. Selbst wenn er die Datenbank mitgenommen hätte, unser PN´s und IP´s werden verschlüsselt gespeichert. Somit hätte er damit nichts anfangen können.
Redaktion: Müssen die Benutzer irgendwas befürchten?
TechAdmin: Kommt drauf an. Da eben ein Schadscript installiert wurde, was bei aufrufen unserer Seite ausgeführt wurde, kann es passiert sein das bei dem User Trojaner oder Spyware installiert wurde. Bei sowas ist es deshalb auch ratsam sowas wie "No Script" installiert zu haben, alle Benutzer die dies in ihrem FireFox installiert haben, müssen sich keine Gedanken machen.
Redaktion: Was hatte der Angreifer für ein Ziel?
TechAdmin: Wir können mit ziemlicher Sicherheit sagen, das es sich bei dem Angreifer nicht um jemand von einem Tracker handelt, den sonst wäre die Datenbank mitgenommen worden. Wir vermuten entweder eine andere Leecher-Site dahinter, die uns aus Google vertreiben wollte oder wir sind zufällig in diesen Angriff geraten, da zahlreiche andere Seiten auf ähnliche Art und Weise gehackt wurden und mit diesem Script infiziert wurden.
Auffällig ist es auch, das nicht nur das Board infiziert wurde, sondern auch andere PHP Anwendungen die teilweise nicht mal Public sind. Das lässt darauf schließen das der Angriff nicht geplant war und es einfach nur Ziel war bei möglichst vielen Benutzern das Schadscript ausführen zu können.
Redaktion: Sonst noch etwas wichtiges was du den Usern sagen möchtest?
TechAdmin: Es sollte der Rechner auf Trojaner und Spyware überprüft werden. Ich weiß nicht in wie weit die Anti-Virus Programme gegen dieses Script gerüstet sind. Server Betreiber sollten auf´s strengste Ihre Seiten überwachen auf Unregelmäßigkeiten. Betroffen sind alle Nutzer die am 1.05.08 zwischen 10:58 und 23:00 Uhr Online waren und kein Programm zur Unterbindung von Java Scripts installiert haben. Die Seite
www.sb-innovation.de selber kann erlaubt gewesen sein, es wurde eine zusätzlich geladen welche sich "orentraff.cn" nennt. Wer diese erlaubt hat, sollte seinen Computer einmal eingehender Untersuchen.
Redaktion: Wird so etwas noch mal vorkommen?
TechAdmin: Das weiß man nie genau. Vermutlich werden wir in den nächsten Monaten sowieso unseren Server ausserhalb von Deutschland verlagern. Ich bin aber stehts bemüht darum das unseren Benutzern die höchst mögliche Sicherheit gewährt ist.
Redaktion: Wir danken für dieses ausführliche Gespräch.
TechAdmin: Dito.
English translation:
Editorial staff: What exactly has happened?
TechAdmin: An unknown person got admission to our server and implemented Java script in some files. Editorial staff: Has a damage originated from it? TechAdmin: Yes and no. We have lost our pagerank and all baking links because of this Java Scrip. A year of Search engine Optimization effort was for nothing. The forum itself is unscathed and complete.
Editorial staff: Have some sensitive data been taken?
TechAdmin: No. Neither backups nor databanks were copied. This means the attacker has nothing. Even if he had taken the data bank, all PM's and IP's are encrypted. Therefore he couldn't have used the data in any way.
Editorial staff: Must the users fear something?
TechAdmin: It depends on it. As a Schadscript was installed which was executed on access to the site, it is possible that users got some trojans or spyware. Therefore, it's very advisable to have installed No Script. Users, who had installed this addon don't have to worry.
Editorial staff: What did the attacker have for a purpose?
TechAdmin: We can say with considerable assurance that the attack was not coordinated of a tracker, otherwise, the data bank would have been taken. We suppose either another Leecher site behind it which wanted to expel us from Google, or accidentially got attacked, because numerous other sides were hacked in a similar way and were infected with this Script. It is also remarkable that not only the Board, but also other PHP applications, which are partially not even public, got infected. This allows us to conclude that the attack was not planned and that the actual target was to infect as much users with the Schadscript.
Editorial staff: Anything else important what you would like to say to the users?
TechAdmin: The pc should be checked for Trojan and Spyware. I do not know to what extent the antivirus programs are prepared against this Script. Server operators should supervise their sites carefully on irregularities. All users which were online on 1.05.08 between 10:58 and 23:00 o'clock and have installed no program to the prevention of Java Scripts are concerned. The side
www.sb-innovation.de can have been permitted, as the Schadscript needed access to "orentraff.cn". Everyboy who has permitted this, should examine their computer carefully.
Editorial staff: Will such a thing happen once more?
TechAdmin: One never knows this exactly. Presumably we will move our servers outside from Germany during the next months. However, I am always doing my very best to grant the users the maximum security.
Editorial staff: Thank you for this detailed interview.
TechAdmin: You're welcome.
