Ich muss das Posting leider etwas knapp halten, da ich gleich noch zu einem Termin muss. Ihr erinnert euch noch an
http://beyondhollywood.de/index.php/topic,18397.0.html - oder? Es standen noch ein paar Updates aus, die ich nun sehr dringend machen muss.
Habe heute eine Warnungs-Mail bekommen, dass eine der Adressen, unter der dieser Server erreichbar ist, als Phishing-Site gemeldet wurde. Leider hat sich das nach genauer Betrachtung auch bestätigt - es wurde ein Skript hinterlegt, welches zu einer Phishing-Site weiterleitete.
Alles, was ich gefunden habe, habe ich natürlich sofort unschädlich gemacht bzw. verschoben und gesichert etc.
Daher laufen aktuell nicht mehr alle Dienste - d.h. zum Beispiel, dass der Server aktuell KEINE MAILS senden darf. Ihr werdet also keine Benachrichtigungen über neue PNs oder ähnliches in der nächsten Zeit bekommen. Im Grunde ist nur noch das Forum selbst online, weil ich hier keinen Verdacht auf Manipulationen/Schwachstellen habe.
Über die Ursache kann ich aktuell nur teilweise Auskunft geben bzw. spekulieren - meine Freundin hat gestern ihren Blog aktualisiert und weil das Update nicht auf Anhieb funktioniert hat, dabei einen kleinen Fehler gemacht. Sprich, sie hat zu viele Schreibrechte freigegeben. Daher war auch bisher nur ihre URL von der Phishing-Meldung betroffen. Das allein ist aber nicht das ganze Problem, irgendwo muss noch eine Lücke sein. Ich tippe auf die Wordpress-Software oder das OS selbst, da ich wie in obigem Link angegeben leider schon eine ganze Latte an Updates sträflich vernachlässigt habe. Das rächt sich nun natürlich.
Zum weiteren Vorgehen: Ich werde in den nächsten Tagen, vermutlich im Raum Samstag-Dienstag, sofort alle nötigen Updates aufspielen und weitere Beweise suchen/sichern. In dieser Zeit ist das Forum dann voraussichtlich nicht erreichbar.
Im Worst Case, falls wirklich ein Rootkit oder ähnlich installiert worden sein sollte, müsste ich den Server komplett platt machen und neu aufsetzen. Das würde natürlich eine Weile dauern. Ich gehe davon jedoch zumindest aktuell nicht aus, also vorerst noch keine Sorge.
Sobald ich genaueres weiß, werde ich mich wieder melden. Das Forum wird auch garantiert wieder online gehen, selbst im schlimmsten Fall wird es nur ein paar Tage länger dauern
Zumindest ist es ein gutes Zeichen, dass bisher nur eine URL betroffen ist. Daher gehe ich von einem eher kleineren "Schaden" aus.