http://my.worldsite.ch/announcements.php Thu, 15 Apr 2010 17:25:05 CEST http://my.worldsite.ch/announcements.php?id=12 Thu, 15 Apr 2010 00:00:00 CEST Ein Account eines Kunden ist verantwortlich für das Hacking einer unserer Server. Alle Domains auf diesem System erlitten heute ein "Website Defacement" (index.* Datei vom Hacker ersetzt) aufgrund dieses Angriffs. Die Details von wo und zu welcher exakten Zeit der Hacker auf das System zugegriffen hat, sind leider nicht mehr verfügbar, da alle Logfiles auf dem System vom Angreifer zerstört wurden. Wir wissen nicht von welcher IP aus der Angriff stattfand und ob eines der vom Kunden betriebenen Scripts als "Eingangstür" missbraucht werden konnte, oder schlicht das FTP Passwort via einem Virus auf einem lokalen PC an den Hacker gelangte. Wir haben den Zugang zum Verzeichnis und generell zum Account deaktiviert um weitere illegale Aktivitäten zu verhinden. Der komplette Server sowie weitere Geräte in der gleichen Netzwerkgruppe werden im Moment noch gescannt und abgesichert. Alle Webseiten wurden von unserem Supportteam manuell wieder hergestellt und die veränderten index-Dateeien entfernt. Dieser Vorfall betraf heute Mittag ALLE Kunden server42 und führte für ein Team von nicht weniger als 6 Technikern zu mehreren Stunden Arbeit der manuellen Wiederherstellung sowie Suche des Ursprungs dieses Angriffs. Bei den wenigen vergleichbaren Fällen in der Vergangenheit wurden in der Regel unsichere Heim-PC's als Ursache gefunden und wir möchten Sie an dieser Stelle daran ermahnen stets einen guten (und auch aktuellen) Viren/Malware Filter auf Ihrem Rechner zu betreiben, damit niemand via Backdoors Ihre Passwörter aushorchen und solche Schäden in fremden Netzen anrichten kann.