24h: Rien ne va plus

VON Dr. Wolf SiegertZUM Dienstag Letzte Bearbeitung: 14. Mai 2023 um 22 Uhr 44 Minutenzum Post-Scriptum

 

In der Nacht zum 1. Mai 2023 wurde inmitten der Redaktionsarbeit der Zugang zu dieser Seite gesperrt.
Das sah dann so aus:

Der Grund: Bei einem Routinescan vonseiten des Serverbetreibers wurde auf dieser Seite
sogenannte Malware gefunden.

Es konnten eine Reihe von infizierten Einträgen ausgewiesen werden, die so aussahen wie dieser hier:

./daybyday.press/IMG/pdf/210707_ii_this_account_has_been_hacked_change _your_password_right_now_.pdf

Solcher Code ist in die reguläre Dateien der Website eingeschleust worden. Des Weiteren wurden direkt im RAM (unter /dev/shm) infizierte Skripte abgelegt, die eine Überlastung auf dem Server verursacht haben.

Die serverseitige Meldung:

Ihr Account wurde vermutlich via FTP/SSH infiziert, d.h. Dritte sind an Ihr FTP-Passwort, etwa durch einen Trojaner oder Keylogger auf Ihren Computer gelangt.

Das ist bitter, denn bisher war die Annahme die, dass die hier in Anwendung gebrachte Software SPIP im Vergleich zum „beliebtesten Website-Baukasten der Welt“ WordPress davon gar nicht betroffen sein würde. Oder weit weniger, zumal es sich wie in diesem Falle nicht um eine kommerzielle Webseite handelt.

Aber die Annahme, unter dem Deckmantel der geringeren Bekanntheit sich vor diesen Gefahren verstecken zu können, nahm in dieser Nacht zum 1. Mai ein abruptes Ende.

Klar, dass vonseiten der Redaktion zunächst schlichte Verzweiflung angesagt war. Aber die eigentliche Belastung lag jetzt beim Admin, der sich ausgerechnet am „Tag der Arbeit“ diesen ganzen Tag mit Aufgaben wie diesen hat herumschlagen müssen, und der eine weit weniger dramatische Einschätzung dieser Bedrohung hatte: Zumal – und das wiederum stützt die zuvor vorgetragene Annahme – dass dieses nach mehr als zwanzig Jahren das erste Mal ist, dass es zu einer solchen von Aussen injizierten "Betriebsstörung" gekommen sei.

Auf der Basis von und im Rückgriff auf die automatischen Datenbank-Backups musste die Site vollständig neu installiert werden, und zwar ausschliesslich im Rückgriff auf die SPIP-Repositories und den eigenen Programmcode. Auch alle anderen Anwendungen wurden neu eingespielt.

Ferner mussten alle implementierten Logins und möglicherweise zu schwachen Passwörter geprüft und geändert werden, nachdem die lokalen Rechner, so weit wie irgend möglich, auf Viren und Trojaner geprüft worden waren (ohne dass wir dort fündig geworden wären) [1].

Interessant – und erschreckend – dass es offensichtlich ein speziell auf diese Software zugerichteter Code war, der das ganze System zum Kollaps geführt hat. Und das, obwohl ausreichende Sicherheitsmassnahmen getroffen worden waren … so dachten wir in der Redaktion: Und wurden nun eines „Besseren“ belehrt.

Dass diese Anwendung aber jetzt wieder läuft, ist hauptsächlich jenen zu verdanken, die im Hintergrund diese Anwendung betreiben, sichern und pflegen. Schon in der Nacht vom 1. auf den 2. Mai konnte der runderneuerte Datensatz auf dem Server eingerichtet und sodann im Verlauf dieses Tages freigeschaltet, nochmals geprüft und dann zur erneuten Nutzung freigegeben werden.

Das Text-Backup hat gehalten, was sich die Programmierer davon versprochen haben. Die Riesendatei von gut und gerne 30 GB mit all den Fotos, den Audio- und Video-Files konnte wieder eins-zu-eins eingespielt und das Ganze mit einer 500er MB-Leitung von Vodafone auf dem Server implementiert werden.

Zu guter Letzt auch auf diesem öffentlichen Wege einen ausdrücklichen Dank an den Admin und SPIP-Profi, der dieses Projekt seit der Planungen und dem Start Ende 2003 bis heute betreut.