Am Freitag abend kamen die ersten Meldungen herein. Verschiedene Virenscanner hatten die Seiten des Pythagoras Institut Dresden als Attakierende Seite eingestuft. Eigentlich war mir das unerklärlich. Alle Seiten hatte ich selber programmiert. Dementsprechend kannte ich ja auch den verwendeten Code. Als ich dann testweise die Startseite aufgerufen habe und meinen Quelltext angeschaut habe, tauchte dort eine kryptische Zeile auf, die ich so nicht hineingesetzt hatte. Da es schon spät war, habe ich die Bearbeitung auf den nächsten Tag verschoben. Eine erste Recherche um welchen Code es sich handeln könnte, brachte auch nichts.
Am Samstag offenbarte sich das ganze Drama. Die FTP Verbindung war ausgespäht worden. Damit war es möglich, von außen auf den Server zuzugreifen. Beinahe alle Seite des Pythagoras Institut, der Shop, dieser Blog und die private Seite sowie die der Geomantiegruppe Dresden waren infiziert worden. Hinzu kam, daß Google die Seite schon im Suchergebnis als gefährlich markierte und jeden Seitenbesuch blockierte.
Jetzt hieß es zu retten, noch zu retten ist. Glücklicherweise existiert eine komplette Sicherung aller Seiten offline. Also war der sicherste Weg, den Server zu formatieren und alle Seite neu hochzuladen. Bis auf den Blog war alles bereits am Samstag wieder bereinigt. Für den Blog wurde eine Ersatzseite eingefügt. Glücklicherweise gibt es bei Google die Möglichkeit, eine Freischaltung der Sperre zu beantragen, die auch wirklich sehr schnell umgesetzt worden ist, so daß alle Seite seit Sonntag wieder regulär zu erreichen sind.
Jetzt ist es auch gelungen, den Blog wieder neu hochzufahren, ohne Datenverlust. Also funktioniert wieder alles. Die Passwörter wurden geändert, der alte Virenscanner entsorgt, der zwar immer viele lästige Bildschirme bringt, wie toll er wäre, aber den entscheidenden Befall nicht bemerkt hat. Und ich bin wieder um eine Erfahrung reicher.
Ich kann nur alle Besucher, die vielleicht etwas irritiert waren, um Verzeihung bitten und mich bedanken, wenn sie auch in Zukunft voller Vertrauen hier hineinschauen.
Andreas
Na, da hast Du ja nochmal Glück gehabt.
Ich würde Dir empfehlen, kein FTP mehr einzusetzen. Es gibt sichere Alternativen: SFTP (=FTP über SSL), SFTP (über SSH) und SCP. Schau mal, ob Dein Hoster das anbietet.
Viele Grüße,
Jamma.
Immer Updates fahren. Wie Jamma geschrieben hat: Sicheres FTP(SFTP). Empfehle VSftpd mit TLS(ist relativ einfach einzurichten). Portwechsel deines FTP Zugangs durchführen(liegt in der Regel auf 22. dort würde ich ihn nicht lassen).
gruß