Seit ca. Ende Oktober hatten wir verstärkt Angriffe auf unsere Webseite zu verzeichnen. In KW 45 ist es den Angreifern dann gelungen, Teile der Webseite zu übernehmen und – vermeintlich – zu nutzen für einen DDoS Angriff.
Warum hacken die uns?
Unsere Webseite wurde vermeintlich genutzt, um damit andere Server in die Knie zu zwingen. Dabei haben die Angreifer vermutlich einen Zugangsweg zu unserer Websoftware (die heißt WordPress) benutzt, der sich xml-rpc nennt. Der ist eigentlich da drin, um den Zugang zur Webseite flexibel zu gestalten. Man kann über diesen Weg zum Beispiel Beiträge via E-Mail auf der Webseite platzieren oder Benutzer zu authentifizieren (festellen, ob tb@pobox.com mit Passwort Hugo tatsächlich Torsten Beyer ist).
Und wie machen die das?
Das Dumme an xml-rpc ist allerdings, dass es sämtliche Schutzmechanismen für fehlerhaft eingegebene Passwörter missachtet. Man kann über diesen Weg 1000e Passwörter pro registriertem Anwender schlicht raten lassen. Das machen die natürlich nicht manuell. Dafür haben die Software, die vermutlich vollständig eigenständig das Web nach WordPress-basierten Seiten durchsucht. Wird sie fündig, legt sie los.
Ich vermute, dass die Angreifer über genau diesen Weg Passwörter von Einzelnen von uns erraten haben. Dann haben sie Schritt 2 ihrer Attacke gezündet und unserer Webseite via xml-rpc gesagt, dass es sogenannte Pingbacks anderer Server zu uns gibt. Was wiederum unsere Websoftware dazu motiviert hat, bei genau dieser Webseite nachzusehen. Und genau dieses Nachsehen multipliziert mit mehreren Millionen führt bei der Zielseite zum (D)enial (O)f (S)ervice. Die bricht unter der Last schlicht zusammen.
Unsere Abwehr
Die Abwehr besteht natürlich zunächst mal darin, sämtliche Zugangsdaten zu ändern. Daher habt Ihr (warum 2x kommt gleich), diese Passwort-Reset Mails bekommen. Ich habe schlicht alle Passwörter zurückgesetzt. Damit ist es aber nicht getan. Ich hab dann schrittweise den Zugang zu diesem xml-rpc System eingeschränkt. Diesen Weg stumpf zu schließen bedeutet eben auch funktionale Einschränkungen für „liebe“ Anwender.
Bei meinem ersten Versuch war ich da nicht strikt genug. Und wir hatten in der Nacht vom 16.11. auf den 17.11 wieder Besuch unserer ungebetenen Gäste. Daher habe ich dann am 17.11 wesentliche Teile dieses xml-rpc Systems abgeschaltet. Und das hat’s dann vermutlich gebracht. Die Typen sind bisher nicht wieder aufgetaucht.
Weitere Massnahmen
Wegen der Natur der xml-rpc Schnittstelle empfehle ich auch dringend, dass vereinsflieger Passwort zu ändern – zumindest für all diejenigen, die sich auch schonmal mit der vereinsflieger Mail/Passwort Kombi anmelden.