Ludo-Webseiten wieder online!
Unser Webserver wurde gehackt!
Auf den Webserver, auf welchem diese Webseite und die Ludothek-Webseiten gehostet sind, gelang Hackern am 14.06.2024 der Zugriff und am 17.06.2024 wurden dann alle Webseiten zerstört oder mit Malware infiziert.
Seit heute Morgen 18.06.2024 ca. 11 Uhr ist das Zurückspielen des Backups abgeschlossen und der Betrieb aller Webseiten wiederhergestellt.
Was ist geschehen?
Der Zugriff auf den Webserver gelang den Hackern über das Joomla-Login einer Ludothekwebseite. Wahrscheinlich wurden die Zugangsdaten zuvor in einem anderen Vorfall geklaut und sind dann in einer Passwortdatenbank gelandet.
Die Hacker konnten dann von der Ludothek-Webseite durch die Installation von Script-Dateien aus der Joomla-Umgebung ausbrechen und die weiteren Webseiten auf dem Server mit weiteren Scripts verseuchen und schlussendlich zerstören.
Der Webserver konnte dann, nachdem die Hacker die Scripte platziert hatten, von den Hackern genutzt werden, um damit andere Webseiten oder Dienste im Internet anzugreifen, also für sogenannte Überlastungsangriffe (DoS) nutzen.
Soweit wir es eruieren konnten, wurden keine Daten abgegriffen.
Was haben wir gemacht?
Als wir am 17.06.2024 vormittags festgestellt haben, dass die meisten Webseiten auf dem Server mit Schadsoftware infiziert sind, haben wir als Notfallmassnahme den Server offline genommen um damit auch den Hackern den Zugriff verwehrt.
Danach wurde von Hostpoint (unserem Webhoster) das Datei-Backup vom 13.06.2024 eingespielt. Dadurch sind alle Uploads von Spiele-Fotos oder auch anderen Dateien vom 14.06.2024 bis zum 17.06.2024 verloren.
Die Datenbanken mussten nicht aus einem Backup zurückgelesen werden, Änderungen am Text oder auch Online-Verlängerungen der Kunden blieben erhalten.
Was haben wir gelernt?
Auch bei einem erfolgreichem Joomla-Login darf der Benutzer keine Rechte zum Erstellen von Script-Dateien haben. Wir prüfen, wie und ob sich dies umsetzen lässt.
Passwörter sollten von Zeit zu Zeit geändert werden und dasselbe Passwort sollte nicht bei verschiedenen Diensten genutzt werden.
Eine Zweifaktor-Authentifizierung (2FA) hätte diesen Angriff verhindert. Aber die ist halt nicht so komfortabel und darum bin ich noch unsicher, ob eine 2FA generell aktiviert werden soll.
Das LUPO-Programm muss auch starten, wenn die Webseite offline ist oder nicht wie erwartet antwortet. Dies wird in einem nächsten Update umgesetzt.
LUPO und Ludothek-Webseite sollten jetzt wieder fehlerfrei laufen - Bitte entschuldigt die Unannehmlichkeiten.