So kalt wie es im Moment ist, muss ich mir um Mücken wohl erstmal keine Sorgen machen. Wobei die wahrscheinlich nach all dem Regen doppelt hart zurückschlagen, wenn es wieder wärmer wird. Aber übers Wetter spreche ich aus Mangel an interessanteren Einfällen eigentlich schon oft genug also…
Es geht ähnlich nervige Viecher, die mich in der letzten Woche in meiner Funktion als Überadmin auf BWMN beschäftigt haben. 1337 H4x0rs oder, in diesem Fall wohl passender, „nervige kleine Kinder“. Ooookaayyy, ich hatte ein paar Sicherheitslücken im System, insbesondere wurde nicht auf jeder Seite explizit gecheckt, ob der Benutzer, der eine Aktion durchführt, auch die notwendigen Rechte hat. Ich bin halt zu naiv und glaube an das Gute im Menschen wie kleine Kinder an den Weihnachtsmann. Ob der Bengel, der mir letztes Wochenende meine wertvolle Freizeit geraubt hat, noch an den Weihnachtsmann glaubt?
Der Reihe nach!
Offenbar hat einer unserer Nutzer ein leicht zu erratendes Passwort gehabt oder der Angreifer ist sonstwie daran gekommen. Jedenfalls hatte dieser Nutzer sogar Admin-Rechte, und so konnte der Angreifer fröhlich Maps löschen und Newsbeiträge mit Schimpfwörtern verzieren. Und er konnte sich neue Accounts mit Administratorrechten erschaffen. Toll, wa? Leider machte er auch genau das, und die anderen Administratoren konnten vieles nicht wiederherstellen.
Als ich am nächsten Morgen dank E-Mails von Nightmarjoo Wind von der Sache bekam, entzog ich allen Administratoren außer drei besonders vertrauenswürdigen die Administratorenrechte und bat meinen Webhosting-Provider, ein Backup aufzuspielen, was schnell und unkompliziert erledigt wurde. Damit war die Sache erledigt, dachte ich…
Leider waren ja da noch diese oben erwähnten Lücken beim Checken der Erlaubnis, und so konnte ich mich wenig später noch einmal an den netten E-Mail Support von allinkl wenden, um das gleiche Backup noch einmal installieren zu lassen (60 MB große Datenbank-Backups über ein Web-Interface herumzuschubsen macht nämlich nicht wirklich Spass:-)): Die News-Beiträge hatte das Hacker-Kid leider verunstalten können.
Offensichtlich erzürnt, dass seine in stundenlanger harter Arbeit hinterlassenen Spuren der Verwüstung innerhalb von Sekunden wieder getilgt wurden, nervte der Angreifer weiter: Da es mittlerweile keine Sicheitslücken gab (Es gibt bestimmt noch welche, aber wahrscheinlich keine mehr, die man als 12jähriger mit Mückenhirn so leicht findet), spammte er einfach die Bereiche der Seite, die für jeden normalen Nutzer zugänglich sind, mit seinen geistreichen Ergüssen voll. Oder er durchsuchte die Map-Liste nach Maps, in denen die Autoren das Passwort öffentlich gemacht hatten, damit mehrere Leute nach dem Wikipedia-Prinzip an der Map frickeln können, um diese dann zu schänden.
Das sind Sachen, die man kaum vermeiden kann, und die dem Angreifer auch mehr Zeit kosten, als wenn er schnell per Knopfdruck deine Datenbank löschen konnte. Aber es kann einem natürlich trotzdem den Spass an einer solchen Seite gewaltig vermiesen.