Spurensuche

Ich wollte natürlich wissen, wie der Hack der XP-AntiSpy Website am 23.11.2007 funktioniert hat.

Es hat mich zwar einige Zeit gekostet, ich bin aber überzeugt, die Art und Weise wie der ‚Einbruch‘ zu Stande kam herausbekommen zu haben.

Wie Anfangs schon vermutet, wurde eine Sicherheitslücke in einem PlugIn für Joomla! mittels SQL-Injektion ausgenutzt.

Leider war es für die Hacker ein Leichtes, mit einer bestimmte Suchanfrage an Google, alle Websites aufzulisten welche dieses PlugIn einsetzen. Unter den ersten Suchtreffern war dann auch meine Website, was mich zu dem Schluss kommen lässt, dass es sich hier bestimmt nicht um einen gezielten Angriff handelte.

Das perfide an dieser Sicherheitslücke war, sie ermöglichte die Benutzernamen und dazugehörigen Passwort Hashes aus der Datenbank anzuzeigen.

Mit diesen Informationen war es für die ‚Angreifer‘ möglich nach dem passenden Klartext-Passwort für diesen Hash zu suchen. Diesen haben sie dann auch wohl gefunden, denn es gelang Ihnen sich Administrator-Rechte zu verschaffen und Beiträge aus der Datenbank zu löschen.

Die Sicherheitslücke in dem PlugIn ist bereits seit dem 22.08.2007 bekannt und wurde auch schon behoben, ich hatte nur leider nicht die neueste Version im System – mein Fehler.

Aber dank der Hilfe von ‚Team Modfreakz‘ konnte ich die gelöschten Beiträge wieder herstellen und somit ist nichts verloren gegangen außer vielleicht ein bisschen meiner Zeit.

Grüße, -chris-

Dieser Beitrag wurde unter Aktuell veröffentlicht. Setze ein Lesezeichen auf den Permalink.

Die Kommentarfunktion ist geschlossen.