In den letzten Tagen und Wochen kam es zu mehreren Angriffen. Auf die Netzwerkseite und meine private Seite „gullyparlament“. Beide sind auf ein und dem selben Hoster geparkt. Die Seite gullyparlament wurde mit einer Schadsoftware ausgestattet, welche angeblich Pishingmails versendet hat. Pishingmails sind Mails, welche Ihre Daten abfragen und an andere übertragen sollen. Wir haben zu keinem Zeitpunkt irgend ein Schadskript oder irgend einen Schadcode gesetzt, damit man Ihre Daten unlegitimiert abgreifen kann. Die Seite wurde vom Hoster „zu meinem eigenen Schutz“ vom Netz genommen.
Wie mir mehrere Leser mitteilten und ich selbst dann von einem anderem Computer feststellen konnte, wurde auch die Netzwerkseite mit einer Schadmailware belegt. Es wurde beim Betreten der Seite ein nicht zu schließendes Popup-Fenster über die Netzwerkseite gelegt, welches sich nicht mehr wegklicken ließ. Man wurde dazu aufgefordert, daß man sich den „WebLCR“ herunter laden soll. Selbst wenn man das verneinte, startete ein Download. Es ist uns bis heute nicht klar, was da an Download gestartet worden ist. Die Mailware wurde inzwischen durch fleißige Helfer durch Löschung befallener Seitenteile entfernt. Es kann im Laufe der Wiederherstellung von Datenbanken zu kurzen Ausfällen auf der Seite kommen.
Was also ist passiert? Das fragten wir uns immer noch und vor allem befragte ich unseren Provider dazu, welcher mich dazu nötigt, eine extra Sicherheitserklärung abgeben zu sollen, weil man ansonsten die Gullyparlamentseite nicht mehr freischalten wird und die Zugänge dahin blockiert.
Zitat: „…für die Freigabe des Accounts, lassen Sie uns bitte die ausgefüllte Sicherheitserklärung per E-Mail, oder per Fax zukommen….“
Auf mehrere Anfragen erhielt ich keine Beweise welche die erfolgte Sperrung des Gullyparlaments begründen kann.
Es handelt sich immerhin um eine nicht unerheblich schwere Manipulation dieser Seiten, welche durchaus auch den Rechtsverfolgungsbehörden zugeleitet werden sollten. Jedoch mauert man und spielte uns keine der Beispielmails als Beweismittel zu. (Edit 13.11.2013 Mittags: Erst nach der Drohung, daß die Sache in aller Öffentlichkeit abgehandelt wird, schickte man mir eine dieser „Pishingmails“ als „Beweis“. Es handelte sich um eine „Spammail“ (also keine Pishing, pishing gp) welche an einen russischen Empfänger mit Fakeadresse versandt worden ist.)
Fakt ist also, daß mit so einem Beweis nichts zu beweisen ist. Man kann ja noch nicht mal sicher sein, daß der Empfänger der sogenannten „Pishingmail“ überhaupt verifizierbar ist. Eine solche Mail müßte also von diesem als Beschwerde an den Provider eingereicht worden sein. Warum reicht man mir nicht eine Mail, welche an einen Realempfänger gerichtet war? Z.B. eine deutsche Empfängermail? Nachfrage dort hätte sofort Klarheit gebracht. – Aber Sie merken sicherlich selber schon ohne, daß man gesondert darauf hinweisen muß, irgendwas scheint hier stinkend faul zu sein. Mache ich den Rückschluß, so genügt es eigentlich, wenn ich irgend eine Mail faken und dann einem Prowider zuschicken kann und setze damit kritische Seiten außer Kraft. Edit Ende
Ich fragte, ob es ausreichend sei, daß man die befallenen Dateien löschen kann, darauf folgende Antwort von einem Techniker des Providers (antwort support Pishing).
Man besteht trotz Behebung der Probleme auf der Unterzeichnung der „Sicherheitserklärung“, weil man ansonsten das Gullyparlament nicht mehr freischalten wird. Ein Abscannen des dortigen Servers durch einen Techniker unseres Netzwerks ergab, daß mehrere Seiten (also nicht nur die des Gullyparlaments) mit Mailware verseucht sein sollen. Ist das ein Sicherheitsproblem des Providers selbst welcher mit der Sicherheitserklärung nur die Verantwortung auf die Seitenbetreiber abwälzen will? Er weist das vehement zurück.
Ist das eine Möglichkeit, wie man zukünftig ohne weitere Sperrungen kritische Seiten auf die BlackList von Google bekommt? Trotzdem bleibt das Problem, daß man auch nach Bereinigung der Seiten auf dem Gullyparlament dieses nicht freischalten will. Es war nur über Umwege möglich an die Innereien der Seite heranzukommen um das Problem überhaupt angehen zu können. Der Account ist für mich als Betreiber nach wie vor blockiert. Ein ungehöriger Vorgang, wie man sich hier unter Umständen eine Sicherheitserklärung seiner Kunden und zur generellen Freistellung eigener Fehler im System zu erzwingen sucht. Macht das Schule, wird die Beweislastumkehr durch die Hintertür eingeführt. Dann muß man in Zukunft seine Unschuld hieb und stichfest beweisen, weil ansonsten der Serverbetreiber immer leicht aus der Bredullie heraus gehalten wird und dafür auch noch Geld kassieren kann. Dazu ist zu sagen, daß die Seite Gullyparlament von mir seit 2 Jahren nicht mehr frequentiert worden ist. Der Provider ist der Auffassung, daß dadurch die Kompromittierung durch ein veraltetes CMS geschaffen worden ist und deshalb die Schuld beim Seitenbetreiber zu suchen ist. Das ist noch keine Erklärung dafür, daß der Angriff von Draußen her gekommen ist.
Ich muß also davon ausgehen, daß entweder
1. eine Schadskript von wem auch immer eingefügt worden ist,
2. daß evtl. der Hoster selbst dahinter stecken kann, vielleicht auch selbst Sicherheitsprobleme hat oder sogar „Dienste“ ihre Leute da sitzen haben?
3. daß man geflunkert hat und die Seite einfach aus dem Netz haben will.
4. bei der Gullyparlamentseite könnte ich also selbst die Ursache sein, weil das CMS nicht aktualisiert worden ist.
5. Was die Netzwerkseite betrifft, so ist da jedenfalls ein Schadskript gesetzt worden, welches weder von uns gesetzt noch von uns zu beeinflussen war. Auch hier macht sich die Löschung von ganzen Ordnern notwendig.
6. Der Provider stellt ein Spameproblem als Pishingproblem dar (ein himmelweiter Unterschied, denn mit dem einen belästigt man (nur), das letztere ist schlicht und ergreifend kriminell) und vertritt das vehement bis zur Beweisprüfung durch uns. Warum?
Egal welcher Fall hier zutreffend ist, bedenklich sind sie alle male. Warum löscht man gullyparlament aus dem Netz, aber die Netzwerkseite nicht? Hatte man Angst, daß es eine Welle der Empörung gibt? Warum mißt man mit zweierlei Maß?
Ich stelle fest, es wird im Moment keine saubere Zuarbeit geleistet, den Angriff entsprechend aufklären zu können. Wir gehen also erst mal davon aus, daß wir mit unseren Artikeln und vor allem der Klage gegen den ESM vielleicht den Nerv getroffen haben könnten. Natürlich ist es auch möglich, daß die Angreifer einfach nur arme irre Spinner sind. Die Mailfächer sind voll von dem Spamemist und jeder einigermaßen intelligente Mensch klickt diese Mails ohnehin einfach ohne zu lesen weg.
Dieser Artikel hier ist erschienen, da in unserem Impressum/Hausordnung schon angekündigt worden ist, daß jeder Angriff auf die Seite in aller Öffentlichkeit abgehandelt wird.
Wer Hinweise oder Problemlösung weiß, gern hier in die Kommentarfunktion.