Sicherheitsvorfall am 1.2.2010

Leider gelang es einem Angreifer am Montag, 1. Februar 2010 ab 15:30, einen Teilzugriff auf die Webspaces zu erlangen. Der Angreifer hatte Zugriff auf einige Webspaces und hat begonnen, Dateien welche mit „index“ oder „main“ beginnen, zu überschrieben.

Die überschriebenen Dateien sind von uns durch leere Dateien ersetzt worden.
Wir konnten den Angriff frühzeitig stoppen, sodass nur einige Webspaces betroffenen sind und nicht alle.
Falls du zu den betroffenen Benutzern gehörst, lade bitte deine Originaldateien wieder auf den Webspace hoch und deine Seite läuft wieder.

Ob du betroffen bist, kannst du einfach feststellen, indem du alle Dateien auf deinem Webspace kontrollierst, die mit „index“ oder „main“ im Dateiname beginnen.

Die Sicherheitslücke lag in einer Serversoftware, die nicht auf dem neuestem Stand war. Nicht nur wir, sondern auch andere Anbieter erleben in diesen Tagen solche Angriffe.

Wir bedauern dies sehr und haben zugleich die Lücke geschlossen.

Aus dem Fehler habe wir gelernt und einige neue Sicherheitsvorkehrungen eingeführt.
Solltest du noch Fragen haben, wende dich doch per Support-Ticket oder bei allgemeinen Fragen über unser Forum an uns.

31 Kommentare

  1. chrisgun

    Danke für die Aufklärung und schön das die Lücke geschlossen wurde.

  2. gatterer

    Das ist ja Toll wen alles wieder Funtioniert 🙂

  3. ratle

    Wirklich toll, das ihr das so gut gelöst habt. Manche Freehoster würden wegen sowas dicht machen.
    Hat man denn schon festgestellt wer es war?

  4. fanste

    Toller Service 🙂

    Darf man erfahren, was betroffen war? Ein Freund von mir ist selbst im Bereich Freehosting tätig und es wäre gut zu wissen, ob er evt. auch Probleme bekommen könnte. (Antwort gerne auch per eMail, falls nicht öffentlich – SuMa gibt mir noch keine Hinweise darüber)

  5. BSX

    Danke für die schnelle bereinigung !!

    p.s. bei mir hat „ER“ noch eine Index.php in dem TMP bzw. TEMP ordner reingeschmissen, die vielleicht auch löschen.

  6. Kiyo

    Gut das der Grund jetzt bekannt ist 🙂

    Zwar schade um die Seiten aber die sind ja schnell wieder am laufen.

    Danke für die Schnelle bearbeitung der Sicherheitslücke.

    MFG Kiyo

  7. hbb

    ich muss leider alles neu machen… aber ist ja meine eigene schuld, hatte kein backup -.- trotzdem, weiter so jungs! grüße aus bremen.

    • ratle

      Normalerweise legt man auch nicht alles in der Index.php ab.
      Ich habe ca. 100 Dateien auf meiner Seite und jede Index Datei enthält nur soetwas wie ,Zugriff verweigert‘, außer die erste, die enthält 10 Zeilen.

  8. pdg

    danke für das schnelle schließen der lücke.

    meine halbfertige seite war leider auch betroffen 🙁
    konnte den schaden (bei joomla sind leider hunderte dateien betroffen) mittlerweile großteils reparieren … wird mich aber noch die eine oder andere stunde kosten 😉

    dann hoffen wir mal, dass das nicht wieder passiert 😉

    • wuw

      Hi!
      Joomla repariert sich doch von selbst. Einfach neu hochladen und gut. So kannst du auch gleich noch auf die neueste Version aktualisieren.

      • pdg

        prinzipiell ja … aber natürlich ist auch jede erweiterung von joomla betroffen. das dauert also schon ein wenig 😉

  9. cdas

    Besser nur ein paar neue Daten hochladen, als ein abgef** System. Schnelle Arbei lima-city! Gute Kommunikation!

  10. Papalagi

    Und jetzt funktioniert wieder alles !

    :-))))

    Das war aber schnell 🙂
    Vielen Dank

  11. rainer

    Hallo,
    an der Stelle muss ich dem Team von Lima-City mal ein großes LOB aussprechen für ihr schnelle und gute Informationpolitik !!! Weiter so…
    MfG Rainer

    • Unnamednetwork

      Auch ich muss mich der Aussage von Rainer anschließen. Ihr habt schnell, richtig und effizient gehandelt. Sehr schön!

    • snottomo

      hackeratacken auf homepageanbieter und gelegentliche serverausfaelle kommen oefter mal vor. auch das die atacken abgewehrt und die schaeden behoben werden liegt noch im normalen bereich.
      jedoch im umgang bei solchen problemen mit den mitgliedern gibt es dann gewaltige unterschiede. und was da lima geleistet hat, geht weit ueber den normalen umgang hinaus. auf den homepagen wurde darauf hingewiesen, dass diese nur vorruebergehend nicht erreichbar ist. dazu wurde eine e-mail mit ausgiebigen infos zum problem an die mitglieder geschickt. und der zeitplan wurde auch noch eingehalten. das ist eine superleistung. bei solchen service ist es dann auch kein wunder mehr, dass sich hier eine starke gemeinschaft bilden konnte.

      • lauftreffgom

        Das seh ich ganz genauso! Eine email hab ich bei meinem alten Provider nie bekommen, weder wärend die Störung bestand, noch nachdem alles erledigt war. Aber nicht nur die Informationspolitik war super, auch die Maßnahmen zur Schadensbegrenzung hab ich so noch nicht erlebt. Lange Zeit war ja, obwohl der HTTP-Zugriff geblockt war, der FTP-Zugang noch offen, da konnte man bereits sichern bzw. neue Dateien einspielen, bevor alles wieder freigegeben war.
        Grußes Lob

  12. Gaestefun

    Hier ein Tipp fuer alle:
    Google macht tolle Backups der indexseiten:
    Einfach nach eurer HP suchen am besten mit Site:***
    ***= webseiten URL
    und dann unten auf „in Chance“ druecken!
    Und da ist eure Seite

    Achtung:
    Wenn ihr als eiederbesuchszeit „taeglich“ angegeben habt ist es zu Spaet !

  13. mbr

    Erst einmal ein grosses Lob für die super Reaktion und die umfangreichen Bemühungen! Allerdings habe ich vor einigen Minuten erneut diese komische Allah-Blabla-Seite auf meiner Hauptseite gehabt. Ich hoffe, es ist kein erneuter Einbruch?

    Ich habe die index-Seite gelöscht und hoffe, dass es bald wieder so klasse weiter geht wie bisher!

    Vielen Dank und LG
    Michi

  14. mbr

    Vielen Dank für Euren Einsatz!

  15. telelo

    Echt klasse was ihr da wieder geleistet habt, ich denke kaum ein Payed-Hoster hätte noch schneller reagieren können. Problem erkannt -> Problem gebannt.

    Lob!

  16. Alex

    gut das wordpress nix passiert ist 🙂
    übrigens guter tip von Gaestefun mit dem google-cache

    http://www.google.de
    site:www.example.com
    Google Suche
    -> Im Cache

  17. karpfen

    doener is doof

  18. Wolle67

    HuHu liebes Lima-City Team ,

    auch ich muss euch mal mächtig loben !!! Wenn ich sehen wie schnell ihr solche Probleme wieder im Griff habt und vorher mein Bezahl Hoster Tage dafür brauchte nur um den Server zu verbessern t ihr mehr als ein Glücksgriff für jeden HP Inhaber 😉

    Ein riesiges Danke schön und macht weiter so !!

    Lg Wolle67

  19. get

    Genau,

    den gleichen Virus /trojaner hatten wir auf einem anderen Webserver!!!

    Echt unglaublich wie schnell sich der ausbreitet.!!!

  20. gatterer

    Ja, toll… ^^^^ die leute freuen sich dass es Funktioniert 🙂

  21. feuerwehr-literatur-archiv

    Super Lob, und großen Dank für die schnelle Abwehr.
    Besonders der Hinweis auf der Website, fand ich sehr sehr gut.

  22. Ralf

    Das geht wohl gar nicht. Meine Website war heute über Stunden nicht erreichbar.

    Ralf

    • telelo

      Zahl Lima (viel) Geld, dann hört das auf.

      • ratle

        Bei meinem alten Hoster war man froh, wenn die Server mal 5 Minuten nicht überlastet waren…

  23. Mokuba01

    Die schnelle Schließung von Euch war wirklich toll.
    Es würde mich mal sehr interessieren, welche Lücke bestand, über die der Hacker eindringen konnte.

    Das man ihn kriegt, da mache ich mir keine großen Hoffnungen, da der bestimmt über einen nonpub-Proxy + VPN unterwegs war.