Informationen und Stellungnahme zum Angriff auf DrWindows

In den frühen Morgenstunden des heutigen Tages wurde der Server, auf dem die Webseiten von DrWindows laufen, von Hackern heimgesucht. Dabei gelang es den Angreifern, Schadcode in die Webseite einzuschleusen. Über die Folgen und die getroffenen Maßnahmen möchte ich hiermit informieren.

Welche Gefahr bestand?
Wo es nichts schön zu reden gibt, soll man das gar nicht erst versuchen, und außerdem ist mir Eure Sicherheit wichtiger als mein Ruf.
Der eingeschleuste Code hat über eine andere, ebenfalls verseuchte Webseite verschiedene Trojaner und Scareware-Programme nachgeladen und versucht, die Computer der Besucher per Drive-by-Download zu infizieren. Und leider ist mir auch mindestens ein Fall bekannt, in dem das erfolgreich war – dabei handelte es sich um das Scareware-Programm „Live Security Platinum“.
Jeder, der in der Zeit zwischen ca. 2 Uhr heute morgen und der Abschaltung gegen 11:30 Uhr die Seiten von DrWindows besucht hat, sollte dringend eine gründliche Überprüfung seines Systems durchführen!

Wurden persönliche Daten aus der Community gestohlen?
Da die Hacker ins Dateisystem eingedrungen sind, hätten sie auch grundsätzlich Zugriff auf die Datenbank gehabt. Ich gehe allerdings davon aus, dass daran gar kein Interesse bestand – es ging lediglich darum, eine gut besuchte Seite in eine Virenschleuder zu verwandeln. Selbstverständlich sind die Passwörter bei uns verschlüsselt abgespeichert und zusätzlich mit einem zufälligen Salt-Wert geschützt, sie sind also nicht ohne Weiteres zu entschlüsseln.
Weil es unverantwortlich wäre, ein noch so geringes Risiko zu ignorieren, empfehlen wir dennoch, das eigene Passwort umgehend zu ändern.

Welche Maßnahmen wurden getroffen?
Ich habe mich gar nicht erst bemüht, die infizierten Dateien zu finden und zu bereinigen, daher wurde die Seite kurzerhand auf den Stand von letzter Nacht zurück gesetzt. Beiträge sind davon nicht betroffen – Anhänge, die seit letzter Nacht hoch geladen wurden, sind allerdings verloren gegangen.

Wichtiger als das Aufräumen ist allerdings die Analyse, um eine Wiederholung dieser Katastrophe zu vermeiden. Glücklicherweise ließ es sich sehr genau ermitteln, wie die verseuchten Dateien auf den Server gespielt wurden. Ich bitte um Verständnis, dass ich auf diesen Punkt nicht im Detail eingehen kann, aber es wurden diverse Maßnahmen getroffen, um eine Wiederholung zu verhindern. Nur so viel: Der Angriff erfolgte über einen Zugang, der mit einem 20stelligen Kennwort gesichert war, welches allen Regeln der Passwort-Kunst entsprach.
Die letzte und 100%ige Sicherheit – das wissen wir alle – kann es nicht geben.

Dieser Vorfall tut mir unendlich leid und ist mir über alle Maßen peinlich. Wer mich kritisieren möchte – nur zu, ich werde es in Demut ertragen. Ihr dürft aber ebenso sicher sein, dass das alles niemanden mehr ärgert als mich selbst.

P.S.: Alles, was hier geschrieben steht, gilt analog auch für das Supernature-Forum, welches derzeit noch außer Betrieb ist. Ich versuche, dass noch im Laufe des heutigen Abends wieder in Gang zu bringen, kann aber im Moment nichts versprechen.

Noch ein Nachtrag: Es kann weiterhin passieren, dass beim Aufruf der Seite im Browser eine Sicherheitswarnung ausgegeben wird – ich habe die erneute Überprüfung bei Google bereits beantragt – erst wenn diese abgeschlossen ist, verschwinden auch die Hinweise. Das kann leider noch einige Tage dauern.