Ich bin ja jetzt schon einige Jahre mit meinem Webseiten im Internet präsent, aber das ist mir noch nie passiert: am 23. und 24. August ist ein Teil meiner Webseiten gehackt worden. Genauer gesagt hatte sich jemand mit einer rumänischen IP-Adresse Zugang zu den FTP-Servern von Bibra-Online.de und DVDLog.de verschafft und dort fremden Code in zahlreiche Dateien eingeschleust. Was genau dieser Code letztendlich verursacht, ist mir noch unbekannt, aber aufgefallen ist mir der Angriff zuerst, weil meine Webseiten anfingen von fremden Domains irgendetwas nachzuladen.
Ich kann aber Entwarnung geben: in einer Mords-Aktion habe ich noch gestern Abend sämtliche manipulierten Dateien durch saubere Backups ersetzt. Ich kann bei den tausenden von Dateien nicht ausschließen, daß ich dabei etwas vergessen habe, aber alles im Hauptverzeichnis von Bibra-Online inklusive den DVD-Kritiken sowie die WordPress-Installationen sind jetzt wieder sauber. Der Angriff scheint nicht von WordPress ausgegangen zu sein und es wurden sowohl reine HTML-Dateien als auch PHP-Skripte manipuliert.
Wer aber vom Abend des 23. bis zum Abend des 25. August auf Bibra-Online oder DVDLog zugegriffen hat und dem dabei etwas merkwürdiges aufgefallen ist – bitte unbedingt bei mir melden! Ich hoffe, daß ich mit meinen Webseiten durch diesen Zwischenfall keine Viren oder ähnliches verbreitet habe, aber ganz ausschließen kann ich das im Moment noch nicht. Allerdings habe ich in dieser Zeit auch auf die Webseiten zugegriffen und mein Virenscanner hat nicht angeschlagen, so daß da hoffentlich nicht drastisches passiert ist.
Im Moment bin ich noch dabei, die Scherben aufzufegen und mehr über den Angriff herauszufinden – sollte es Neuigkeiten dazu geben, werde ich mich an dieser Stelle natürlich wieder melden.
[Update vom 27.8.: Wie der Angriff zustande gekommen ist, bleibt nach wie vor völlig unklar. Mein Provider meint natürlich, daß es nur an ausgespähten Passwörtern gelegen haben kann, was ich aber auf meiner Seite wiederum hundertprozentig ausschließen kann. Was genau die manipulierten Webseiten angestellt haben, weiß ich auch noch nicht genau, da ich noch nicht dazu gekommen bin, mir die gesicherten Dateien unter kontrollierten Bedingungen anzuschauen. Auf den Webservern befinden sich aber definitiv keine infizierten Dateien mehr und es hat auch keine neuen Angriffe mehr gegeben.]