Suche
  • Fliegen am Niederrhein
  • +49 2158 800099
Suche Menü
Attacke auf lsv-grenzland.de

Attacke auf lsv-grenzland.de

Attacke auf lsv-grenzland.de

Seit ca. Ende Oktober hatten wir verstärkt Angriffe auf unsere Webseite zu verzeichnen. In KW 45 ist es den Angreifern dann gelungen, Teile der Webseite zu übernehmen und – vermeintlich – zu nutzen für einen DDoS Angriff.

Warum hacken die uns?

Unsere Webseite wurde vermeintlich genutzt, um damit andere Server in die Knie zu zwingen. Dabei haben die Angreifer vermutlich einen Zugangsweg zu unserer Websoftware (die heißt WordPress) benutzt, der sich xml-rpc nennt. Der ist eigentlich da drin, um den Zugang zur Webseite flexibel zu gestalten. Man kann über diesen Weg zum Beispiel Beiträge via E-Mail auf der Webseite platzieren oder  Benutzer zu authentifizieren (festellen, ob tb@pobox.com mit Passwort Hugo tatsächlich Torsten Beyer ist).

Und wie machen die das?

Das Dumme an xml-rpc ist allerdings, dass es sämtliche Schutzmechanismen für fehlerhaft eingegebene Passwörter missachtet. Man kann über diesen Weg 1000e Passwörter pro registriertem Anwender schlicht raten lassen. Das machen die natürlich nicht manuell. Dafür haben die Software, die vermutlich vollständig eigenständig das Web nach WordPress-basierten Seiten durchsucht. Wird sie fündig, legt sie los.

Ich vermute, dass die Angreifer über genau diesen Weg Passwörter von Einzelnen von uns erraten haben. Dann haben sie Schritt 2 ihrer Attacke gezündet und unserer Webseite via xml-rpc gesagt, dass es sogenannte Pingbacks anderer Server zu uns gibt. Was wiederum unsere Websoftware dazu motiviert hat, bei genau dieser Webseite nachzusehen. Und genau dieses Nachsehen multipliziert mit mehreren Millionen führt bei der Zielseite zum (D)enial (O)f (S)ervice. Die bricht unter der Last schlicht zusammen.

Unsere Abwehr

Die Abwehr besteht natürlich zunächst mal darin, sämtliche Zugangsdaten zu ändern. Daher habt Ihr (warum 2x kommt gleich), diese Passwort-Reset Mails bekommen. Ich habe schlicht alle Passwörter zurückgesetzt. Damit ist es aber nicht getan. Ich hab dann schrittweise den Zugang zu diesem xml-rpc System eingeschränkt. Diesen Weg stumpf zu schließen bedeutet eben auch funktionale Einschränkungen für “liebe” Anwender. 

Bei meinem ersten Versuch war ich da nicht strikt genug. Und wir hatten in der Nacht vom 16.11. auf den 17.11 wieder Besuch unserer ungebetenen Gäste. Daher habe ich dann am 17.11 wesentliche Teile dieses xml-rpc Systems abgeschaltet. Und das hat’s dann vermutlich gebracht. Die Typen sind bisher nicht wieder aufgetaucht.

Weitere Massnahmen

Wegen der Natur der xml-rpc Schnittstelle empfehle ich auch dringend, dass vereinsflieger Passwort zu ändern – zumindest für all diejenigen, die sich auch schonmal mit der vereinsflieger Mail/Passwort Kombi anmelden.

Autor:

Ich bin gegenwärtig Geschäftsführer und einer von ca. 25 Fluglehrern im LSV Grenzland e.V. Wenn ich nicht an der Webseite rumfummle, versuch ich möglichst oft, im Segelflugzeug zu sitzen. Nur im Winter, wenn der Segelflug am Niederrhein ruht, zieht es mich auch in Motorflugzeuge. Alles in allem hab ich so 1.100 Flugstunden und ca. 1.800 Starts auf dem Buckel.

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden. Weitere Informationen und unsere Datenschutzerklärung findest Du hier.

Schließen