Wir sind im Krieg! Krieg gibt es in der realen Welt und leider auch im Netz. Am 22. und 23. Juli wurde ein durch uns betreuter namhafter Shopbetreiber von einem Hacker angegriffen.

Abläufe, Logfiles und Aktivitäten machen klar, dass dies keine dumme Jungenstreiche sind. Beim Check der E-Mails am Freitagmorgen (23. Juli 2010) um 07:00 Uhr wurde festgestellt, dass die Website seit 22. Juli 2010, 22:00 Uhr nicht mehr erreichbar war. Eine Analyse ergab, dass eine unbestimmte Anzahl von Dateien vom Server heruntergeladen und/oder gelöscht wurde. Ab 09:00 Uhr starteten die Wiederbelebungsversuche für die Website, da viele Systemdateien zerstört worden sind. Mit zwei Mitarbeitern gleichzeitig wurde versucht die Site neu zu rekonstruieren.

Durch eine Sicherheitslücke in dem CMS-System Typo 3, welche mittlerweile durch ein Update geschlossen ist, wurden die Hackerangriffe bereits vor Tagen ausgelöst und manipulierte Dateien wurden stets nach Benutzung wieder gereinigt, um das systemeigene Kontrollsystem zu umgehen.

Nach weiteren sechs Stunden konnte die Website rekonstruiert werden. Zwischenzeitlich wurden auch die Logfile-Einträge analysiert. Pro Domain werden täglich Logfiles für jeden Zugriff auf die Seite geschrieben. Die Logdaten werden fünf Tage rückwirkend aufgehoben und eine Logdatei hat bis zu 400.000 Einträge, die manuell von Hand analysiert werden müssen, um die Angriffsmethode zu definieren.

Es stellte sich heraus, dass die Angriffe über drei verschiedene IP-Adressen erfolgt sind. Die Adressen sind rückverfolgbar und es wurde mittlerweile auch Anzeige erstattet. In dem konkreten Fall handelte es sich um einen strategisch vorbereiteten Angriff, der sich über mehrere Tage erstreckte. Mittlerweile sind Mitarbeiter aus dem Urlaub zurückgekehrt um bei der Analyse zu unterstützen.

Bis 19:00 Uhr sind die wichtigsten Sicherheitslücken gefunden und notdürftig repariert. Die Website läuft zwar wieder, aber es fehlen einige Grafikdateien, die noch nachgearbeitet werden müssen. Um 23:58 Uhr erfolgt nochmals eine Kontrolle der Dateien und dies geschieht die nächsten 48 Stunden alle zwei Stunden. Die Website ist mittlerweile mit dem Typo 3 Update gesichert. Das System läuft wieder stabil.

Die Ermittlungen dauern an, aber es liegt die Vermutung nahe, dass ein Wettbewerber absichtlich die Website über mehrere Tage lahmlegen wollte, um so die hierüber genierten Umsätze zu verhindern. Der Fall zeigt, wie aufwändig und komplex Webseiten und vor allem Shopsysteme mittlerweile sind und mit welcher kriminellen Energie im Netz vorgegangen wird.

Daher ist es wichtig Sicherheitslücken permanent zu überprüfen, neueste Updates einzusetzen und so den Angreifern keine Chance zu geben, denn ACA baut nicht nur schöne, sondern vor allem auch sichere Webseiten und liefert den notwendigen Support, damit Sie langfristig erfolgreich im Internet agieren können.

Mit freundlichen Grüßen Ihr ACA-Team