Hintergrundbild
TriPuls-eFactory
Chronologie eines Hackerangriffs

Hacker sind die Einbrecher des Internets. Sie knacken Server, stehlen Daten, versenden Spam und bleiben häufig unerkannt. Einem Angriff vor wenigen Tagen sind wir auf die Schliche gekommen.

 




Dominik Steinborn, Shopexperte, als erster am Tatort
Göran Bodenschatz, Projektleiter, Security Evangelist
 

02.05.2011

14.20: Einer unserer Webshop-Server meldet, dass er viele tausend Mails nicht zustellen könne. Absender der Mails ist angeblich "Lady Mariam Cole.": ladymariamcole@yahoo.co.uk

 

14.30: Der betroffene Kunde wird informiert, die Techniker suchen nach der Ursache. Klar ist bisher, dass eine modifizierte xt:Commerce Shopinstallation betroffen ist und der Server jede Menge Spam versendet.

 

15.00: Es stellt sich heraus, dass der Shop keine Bestellungen mehr annehmen kann. Bestellbestätigungen per Mail kommen auch nicht mehr durch – kein Wunder, den Mailversand hatten wir ja unterbrochen. Hoffentlich sind wir noch auf keiner Spamliste gelandet... ein langer Abend wirft seine Schatten voraus.

 

15.40: Oh man, Murphey: Für eine effiziente Untersuchung müsste der Shop vom Netz, tatsächlich läuft aber gerade eine große Werbekampagne. Wir bleiben also online, die Analyse muss warten, Priorität hat die Fehlerbehebung. Auf solche Jobs freut sich jeder: Behebe erst das Symptom, beschäftige dich dann mit der Ursache.

 

16.15: Es steht fest, dass der Einbruch über das Admin-Frontend erfolgte. Ein Programmierfehler in der Opensource-Anwendung machte den Hack möglich. Sehr ärgerlich, durch ein zusätzliches htaccess-Passwort hätte das Problem verhindert werden können.

 

19.30: Der Webshop ist wieder online, Bestellungen werden angenommen, Spam wird nicht mehr versand. Feierabend.

 

03.05.2011

8.30: Rund 15.000 nicht zugestellter E-Mails sind angekommen. Das sind normale Nachwehen eines Spam-Angriffs. Wir konzentrieren uns darauf, dass System auf Herz und Nieren zu checken.

 

11.00: Beim Abgleich des Programmiercodes fällt eine ungewöhnliche Anweisung auf. Wir wollen uns das näher ansehen, da schlägt schon der Virenscanner auf dem Desktop an. Jackpott!

 

12.50: Der Schadcode gehörte zum Trojaner
„PHPshell c.99 I“. Hier die Highlights der forensischen Analyse:

  • Umfang rund 129kB (vulgo: ~67 DIN A4 Seiten).
  • dreifach gezippter Base64 Code
  • installierte einen Proxy
  • konnte dynamisch Schadcode nachladen
  • ermöglichte Vollzugriff auf den Server über ein grafisches Frontend (s. Screenshot).

 

Hackerangriff

Passwörter knacken, Code verstecken, Daten klauen. Die Steuerzentrale des PHPShell Trojaners.


In zweifacher Hinsicht bewiesen die Trojanerschreiber Humor:

  • die Variablen bestanden vollständig aus der Ziffer 0 und dem Buchstaben O.
  • zu Beginn des Codes verweisen die Autoren auf ihr Copyright – und verbieten jedwede Analyse ihres Machwerks.
    // This file is protected by copyright law and provided under license. Reverse engineering of this file is strictly prohibited.


Die Moral von der Geschicht‘

Mit der Sicherheit ist es ein leidiges Thema. Sicherheit im Unternehmensumfeld ist eine betriebswirtschaftliche Frage. Wie hoch ist der potenzielle Schaden? Wie oft tritt der Schadensfall ein? Welche Investitionen in Sicherheit stehen dagegen.

Letztlich muss in jedem Einzelfall geprüft werden, welche Maßnahmen sinnvoll sind und welche Angriffsszenarien überhaupt in Frage kommen. Im vorliegenden Fall wird in Kürze ein Workshop klären, welche Präventivmaßnahmen als nächstes implementiert werden.

 

Weiterführende Links

Tribut an die Hacker-Community

Fürs Protokoll: genau genommen waren hier keine Hacker, sondern Cracker am Werk.

  • Cracker sind die Blackhats – und das sind die Bösen. Cracker finden Programmfehler, halten sie geheim und nutzen sie aus um Profit zu generieren.
  • Hacker sind die Grey- und Whitehats - das sind die relativ Guten. Hacker haben Freude an der Erforschung von Systemen. Gefundene Fehler werden im Rahmen von “Responsible Disclosure“ öffentlich gemacht – und das finden wir gut.

Newsletter

Monatlich: Tipps, Trends, News!

  • Im Browser als Lesezeichen speichern
  • Bei Mr. Wong bookmarken
  • Über Twitter veröffentlichen
  • Bei del.icio.us bookmarken
  • Bei google.de bookmarken
  • Bei yahoo.de bookmarken
  • Bei facebook.com bookmarken
  • Bei stumbleupon.com bookmarken
  • Bei Xing bookmarken
  • Bei LinkedIn bookmarken