Was wir schon alles retten konnten … (Auswahl)
Sicher mit Kreditkarten bezahlen
Vor einigen Wochen rief D. aus I. an. Er betreibt ein Bezahlsystem für den türkischen Markt, das auf ColdFusion basiert. Da es immer wieder zu Falsch- und Fehlbuchungen kam, wollte er wissen, woran das liegen könnte. Wir analysierten den kompletten Workflow und fanden heraus, dass es offenbar Hackern aus der Türkei gelungen war, das System zu manipulieren. Mit gefälschten URLs konnten sie Fehlbuchungen auslösen, so, als hätten sie real mit Kreditkarten bezahlt. Wir mussten die gesamte Anwendung komplett umschreiben, auch wenn das einige Zeit in Anspruch nahm. Damit der Kunde nachts wieder ruhig schlafen konnte, installierten wir eine Routine als „Vorschalteinrichtung“, die den Hacker sicher blocken konnte. Bis zum Relaunch konnten wir damit weitere Schäden verhindern.
Suchmaschinen-Cloaking
T. aus H. rief an, wir sollten seine Site googlen. Tatsächlich: Wer nach der Firma bei Google suchte, bekam diese mit dubiosen Treffern von Viagra, Cialis und Co. Das Unternehmen war Opfer des sogenannten Pharma-Hacks geworden. Hier war nicht die Website selbst betroffen. Versteckte Scripte im Code sorgten dafür, dass die Inhalte für die Google-Bots manipuliert wurden und nur bei Google sichtbar waren. Das nennt sich Cloaking und ist für den Betroffenen recht unangenehm. Leider fand der Virenscanner nichts. Wir inspizierten die HTML-Seiten manuell, fanden den Schadcode und überschrieben ihn mit dem korrekten Code, bzw. löschten die Stellen und spielten das Backup auf. Anschließend sorgten wir dafür, dass die Google-Bots die Seiten erneut indizierten. Bis die Suchergebnisse wieder clean waren, hat es zwar eine Weile gedauert, doch jetzt ist alles wieder in bester Ordnung.
Gambio-Shop ist arg belastet
Vor einiger Zeit klagte S. aus P. darüber, dass sein Shop immer wieder für Kunden nicht erreichbar sei. Wir vermuteten zunächst, dass die Probleme beim Hoster lagen, erkannten jedoch nach einer kurzen Analyse, dass es nicht so war. Mittels „netstat-ant“ fanden wir via Unix-Console heraus, dass gleichzeitig hunderte von Verbindungen auf den Shop zugriffen, die alle aus einem ganz bestimmten Kreis von IP-Adressen stammten. Wir nahmen Kontakt mit dem Support des dortigen Netzwerkes auf, aus dem die Angriffe kamen. Dieser zeigte sich sehr kooperativ und gab unsere Anfragen an seinen Kunden weiter. Verblüffend schnell antwortete dieser und wies darauf hin, dass seine vermeintlichen Angriffe von einer People-Search-Website stammten. Wir konnten erreichen, dass die Website, auf der unser Kunde seinen Shop betrieb, aus deren Listen gestrichen wurde.
Unsere Massnahmen:
– Einsatz eines DOS-Blocking-Script
– Einsatz des Moduls: mod_evasive beim Webserver Apache
– Analyse des Netzwerk-Traffics
XT-Commerce Shop nicht mehr erreichbar
Auch G. aus K. klagte darüber, dass sein Shop für seine Kunden nicht erreichbar sei. Die LAMP-Stack-Analyse und Netzwerkanalyse zeigte, dass ein DDoS-Angriff dahinter steckte. Sämtliche sofortigen Maßnahmen halfen nicht, so dass wir die Website des Kunden hinter einen Reserve-Proxy nahmen. Anschließend war die DDoS-Attacke vorbei.
PC macht seltsame Dinge
Per Whatsapp kontaktierte uns I. aus L: „Mein PC benimmt sich so seltsam“ und brachte am nächsten Morgen ihr NoteBook zu uns ins Büro. Tatsächlich fanden sich einige Viren und Malware. Da sich diese glücklicherweise schnell entfernen ließen, arbeitete der PC bald wieder so, wie es sich gehört. Für den weiteren Schutz sorgen die neuesten Viren- und Malware-Scanner.