Wurden wir gehackt?

[Dirghard]

Hallo, möglicherweise wurde unsere Website gehackt. Wir haben vor einigen Tagen seltsame Aktivitäten festgestellt, etwas später folgte eine Erpressermail, man habe unsere Datenbank gekapert, droht, unseren Ruf zu zerstören und will 3.000,- Euro in BTC. Wir werden selbstverständlich nicht zahlen, die Drohungen sind auch nicht wirklich erschreckend, aber wir wüssten schon gerne, ob der Angreifer sich noch auf unserer Seite befindet. Und wie er reingekommen ist.

Wir hatten ursprünglich einen eigenen Server und sind jetzt auf ein gehostetes Paket umgezogen. Vielleicht reicht das ja schon, um zukünftige Angriffe zu unterbinden.

Trotzdem: Kann man irgendwie feststellen, ob die Datenbank verseucht ist und der Angreifer sich noch im System befindet? Diverse Abfragen bei Onlinecheckern zur Sicherheit unserer Seite ergeben ein unklares Bild.

Was bisher geschah:

02.10.2022
- Hackerangriff (RAM-Auslastung über mehrere Stunden bei 50%)
- sql-Server ausser Betrieb
- bei allen Dateien werden die Rechte auf vollen Zugriff geändert
- letzte Datensicherung aus Image geladen (kompl. Server)
- Keine Besserung, deswegen Server ausgeschaltet

06.10.2022
- Umstellung auf Ionos Webhosting PLUS
- neue Passwörter, Zugangsdaten usw. eingerichtet, Domainumzug etc.

Eine erhöhte CPU- und RAM-Auslastung ist seitdem nicht mehr festzustellen. Die Änderung auf sicherere Passwörter fand allerdings erst nach dem Umzug statt, die Erstinstallation des neuen Paketes erfolgte also mit einfacheren, möglicherweise leicht zu hackenden Passwörtern. Kann das zum Problem werden?

12.10.2022
- Erpressungsmail, Inhalt siehe oben

Ich würde den Namen unserer Seite hier ungern in der Öffentlichkeit nennen. Es handelt sich um eine kleine Regionalwährung und ich möchte vermeiden, dass, sollte später jemand nach uns googeln, er als erstes auf die Entführung unserer Datenbank stößt.

PN? Oder den Namen hier nennen und später unkenntlich machen?

Was können wir tun? Gibt es da eine Möglichkeit?

Danke vorab
Dirghard

PS: Wir sind keine Profis, falls diese Rubrik die falsche ist, verschiebt uns bitte!
PS: Wir sind ein eingetragener Verein (e.V.), also keine Firma
PS: Wir können nach Einspielung der Datensicherung (Image) nicht mehr Zugriffe oder Transfers ermitteln

 

[Lawnmower]

Wir können hier in diesem Fall nur raten, es fehlen hier auch sämtliche wichtige technische Details (Software, Versionen, etc.) - und selbst mit diesen Angaben wären alles "wenn" Vermutungen die Dir nix bringen.
Wenn Daten geklaut wurden (insbesondere Personendaten), müsstest Du das wohl auch bei den Behörden melden.
Ich empfehle Dir und deiner Firma dies bei einem entsprechenden seriösen Dienstleister zu plazieren und das untersuchen zu lassen.
Und nein, bitte keine Namen nennen - Google indexiert Computerbase im Minutentakt.

 

[H3llF15H]

Wir sind keine Profis

Wer seit ihr denn? Eine Firma? Dann wäre wohl die IT der richtige Ansprechpartner.

 

[F1database]

Und wenn Kundendaten betroffen sind solltet ihr diese ebenfalls darauf hinweisen.

 

[Chesterfield]

hHier Details nennen würde ich definitiv vermeiden und tut auch nichts zur Sache @Dirghard.

was ich sicher machen würde, wäre es zur Polizei zu gehen und Strafanzeige zu stellen (allein wegen der Haftung /Versicherung usw. für den fall der Fälle)

ganz wichtig ist es ruhe zu bewahren und nicht aus dem Affekt zu handeln.

Würde jegliche Kommunikation mit dem Erpresser auf eis legen und versuchen den umfang des Schadens ( ob und was für daten abhanden gekommen sind) zu erläutern.

3000€ Erpressung klingt erstmal als sei es vllt. keine Informationen welches viel Erpressungspotential haben könnte

 

[DiedMatrix]

Wende dich an den BSI und frage ob die Unterstützen oder Ansprechpartner haben.

 

[Pinsel]

Wenn Daten geklaut wurden (insbesondere Personendaten), müsstest Du das wohl auch bei den Behörden melden.

Hat Dirghard die Möglichkeit festzustellen, ob Daten geklaut wurden?

 

[thrawnx]

Ich verstehe diese Frage nicht, Datenbank gekapert, seltsame Aktivitäten, Erpressermail. Und dann kommt die Frage ob man gehacked wurde... Ich sag einfach mal ne, alles im normalen Bereich, weiter machen.

Wende dich bitte an IT Profis oder dem BSI. Ein einfacher Umzug oder Passwort Reset nützt nichts, ohne eine forensische Untersuchung bzgl. des Angriffvektors. Ziehst um, installierst die gleichen ungepatchten Palete, wirst direkt wieder gehacked bzw. die Backdoors sind immer noch da.

 

[Lawnmower]

@Pinsel: Kaum, da muss ein Profi ran und das untersuchen. Wir können nur spekulieren was in dem Fall mEn nicht zielführend ist - hier müssen Fakten und Tatsachen ran damit dann die Firma auch weiss wie gross der Schaden effektiv ist.

 

[Wechsler]

Ich würde den Namen unserer Seite hier ungern in der Öffentlichkeit nennen. Es handelt sich um eine kleine Regionalwährung und ich möchte vermeiden, dass, sollte später jemand nach uns googeln, er als erstes auf die Entführung unserer Datenbank stößt.

Ich glaube, das ist euer kleinstes Problem. Datenpannen mit personenbezogen Daten (um die geht es doch, oder?) müssen gemeldet werden nach DSGVO innerhalb von 72 Stunden, also spätestens am 4.10. Da wird auf jeden Fall schon mal ein Bußgeld fällig, bei Verstößen ein höheres, Höchstsumme: 20 Millionen €.

Regionalwährung klingt nach Finanzdienstleistungen, das sind dann u. U. sehr heikle Daten, die da weggekommen sind, da ist dann ggf. auch noch die BaFin im Boot. Da könnte ich jetzt echt ganz schlecht schlafen. Daß das Vertrauen nach dem gescheiterten Vertuschungsversuch verspielt ist, dürfte ja hoffentlich klar sein.

 

[Raijin]

Vor allem gehört das in die Hände verifizierter Profis. Das ist einerseits ein fachkundiger Dienstleister, der die Systeme prüft, und andererseits ein Jurist, der sich mit den rechtlichen Pflichten und Folgen auskennt. Ein öffentliches Forum ist der völlig falsche Ort für sowas, weil sich auch in Foren mit einem professionell anmutenden Titel mehr Laien als Profis tummeln - und selbst wenn es Profis sein sollten, kann man es nicht nachprüfen.

Öffentliche Foren bieten maximal Hilfe zur Selbsthilfe und im vorliegenden Fall kann man nur mit Nachdruck zu professioneller Hilfe vor Ort raten. Das BSI ist sicherlich ein geeigneter Ansprechpartner für Informationen zum weiteren Vorgehen.

 

[Dirghard]

Ganz so schlimm ist es nicht. Wir sind keine Firma und schon gar kein Finanzdienstleister. Wir sind ein kleiner Verein, der einen lokalen Tauschring mit ca. 15 Mitgliedern betreibt. Es fließt auch kein echtes Geld, sondern die Tauschgeschäfte werden mit Hilfe unserer Regiowährung über die Website abgewickelt.

Unsere Mitglieder wissen Bescheid und drücken uns die Daumen. In der Erpressermail wird nur gedroht, unseren Ruf zu zerstören, vom Verkauf der Mitgliederdaten ist nicht die Rede. Bisher hat auch noch keins unserer Mitglieder eine ungewöhnliche Mail erhalten.

Könnte das möglicherweise die CPU- und Ram-Auslastung während des Angriffs erklären? Dass der Angreifer versuchte, das Passwort der Datenbank zu knacken, wir aber noch rechtzeitig den Stecker gezogen haben?

Ansonsten wäre es bei so wenigen Mitglieder auch machbar, alles auf Null zu stellen und die Daten neu in eine leere Datenbank einzutragen.

Wäre das eine Option? Und eine letzte Frage: Falls ja, reicht das oder muss komplett alles gelöscht werden?

 

[Raijin]

Wenn ein Server gehackt wurde, ist eine vollständige Neuinstallation unumgänglich, da der Angreifer unentdeckte Hinterlassenschaften dagelassen haben könnte. Backdoors, Timebombs und dergleichen. Die Daten der Datenbank kann man vorher natürlich sichern - zB mittels SQL Skript inkl. Schema und Daten.

Generell sollte man das Sicherheitskonzept hinterfragen und potentielle Angriffsvektoren schließen. Dazu zählen Dinge wie ssh-Zugriff nur über Zertifikate, anderweitige Logins mittels fail2ban, o.ä. gegen Wörterbuchattacken sichern. Im Falle einer öffentlich erreichbaren Webseite mit Formularen und einer Datenbank dahinter muss man natürlich auch prüfen ob sie gegen SQL-Injection gewappnet ist. Das ist zwar eine der bekanntesten Angriffsmethoden, aber nach wie vor eine der erfolgreichsten überhaupt. SQL-Injection hat schon Konzerne lahmgelegt, weil ein unerfahrener Programmierer am Werk war..

Bei einem kleinem Personenkreis wäre zudem auch eine Absicherung via VPN eine Option. Der Server wäre dabei ausschließlich über VPN zu bedienen und ansonsten nicht öffentlich erreichbar. Wireguard wäre da eine Option.

 

[IICARUS]

Könnte das möglicherweise die CPU- und Ram-Auslastung während des Angriffs erklären?

Durchsuche deine Logs, denn dort wird alles gespeichert, was mit Zugriffe oder Zugriffsversuche was zu tun hat.

Ein Server, mit Root zugriff, muss auch selbst abgesichert und ständig überwacht werden. Anders ist es mit einem Webspace, wo sich der Anbieter um alles kümmert. Aus diesem Grund sollte auch ein Server ohne ausreichend Kenntnisse nicht betrieben werden. Denn die andere Art eines Hacker ist die Übernahme und verteilen von Spam-Mails usw. Wer sich da nicht gut auskennt, der wird sowas nicht mitbekommen oder erst wenn die IP-Adresse des Servers auf einer Blacklist landet oder teuer wird.

Wenn ich ein Rootserver anmiete, ist das Erste, was ich mache die Absicherung. Bereits wenige Minuten nachdem ich einen Server erhalte, lassen sich in den Logs Zugriffsversuche ersehen.

• Port 22 wird verschoben.
• der direkte Root Zugang wird unterbunden
• ein User wird angelegt und der Root zugriff erfolgt dann über Umweg
• fail2ban wird installiert und eingerichtet

Mit fail2ban ist es auch wichtig die Logs mitzuverfolgen, denn gibt es Zugriffsversuche, die davon nicht erfasst werden, müssen mit neue eigene Regeln ergänzt werden. Das Ganze ist ein Katz und Mausspiel, denn danach können neue Methoden von Zugriffsversuche stattfinden, die man dann auch mit neuen Regeln entgegenwirken muss. Mit einem eigenen Mailserver ist es dasselbe.

Hatte mal auch ein Programm (Linux Anwendung) installiert, was zusammen mit meiner eigenen erstellten Firewall portscanns sperrte. Hier habe ich sogar auf Port 22 angesetzt und jeder der darauf ein Zugriff versuchte, wurde direkt gesperrt.

 

[Dirghard]

Okay, ihr habt uns schon mal weiter geholfen. Wenn ich unseren Websitebetreuer richtig verstanden habe, ist die Datenbank das das einzige, was exportiert wurde.

Der Export vom eigenen Server (alt vor Angriff) auf das Webhosting-Paket (neu nach Angriff) erfolgte mittels der Exportfunktion in PHPMyAdmin im Dateiformat *.sql. Kann sich in dieser SQL-Datei noch Schadcode verstecken? Falls ja, gibt es ein Dateiformat, das nur die reinen nackten Daten exportiert?

 

[IICARUS]

Solch eine Webseite besteht aus Files und einer Datenbank.
Schadcode können sich daher auch innerhalb der Files verbergen.

Manche Webseiten z.B. CMS Systeme beinhalten ein Import der alten Daten.
Das wäre die sichere Methode, um sicherzugehen, dass keine Schadcode mehr enthalten sind.