10. Januar
Am 10 Januar erhielt ich eine Mail von STRATO (Abteilung ABUSE) dass mein Webspace gesperrt wurde nachdem er angeblich gehackt worden ist und für einen SPAM-Versand missbraucht worden ist. Ich wurde aufgefordert die vermutlich verantwortliche Datei (/joomla_06/plugins/xmap/com_virtuemart/header.php) zu prüfen und zu löschen. Weiterhin wurde ich aufgefordert alle bei mir installierten PHP / CGI-Scripten auf Sicherheits-Lücken und Mängel zu prüfen sowie die oben genannte Datei zu löschen. Hierzu wurde mir eine Frist bis zum 24.01.2016 gesetzt.
Anmerkung: Es wurde nicht nur die Domain sondern alle Domains in meinem Webspace gesperrt. Damit war es auch nicht möglich Joomla neu zu installieren. Ich hatte ganz bewusst Joomla als CMS gewählt weil es als einfach zu installieren und pflegen beworben wurde. Wenn ich selbst PHP bzw. CGI beherrschen würde bräuchte ich vermutlich kein solches System. Wie soll ein Laie tausende von Scripten überprüfen und ändern können wenn obendrein zusätzliche Scripte direkt während des Zugriffs von Joomla erzeugt und ausgeführt werden. Es gab auch keinen Hinweis darauf wann der Hack erfolgte und wie ich auf einen früheren Zeitpunkt zurücksetzten könnte.
Nach Anruf beim technischen Support habe ich per FTP sämtliche Dateien mit einem Zeitstempel in 2016 (es waren einige am 8.1. und einige am 10.1. vorhanden) gelöscht. Dies habe ich anschließend ein einer Mail an ABUSE gemeldet. Weiterhin informiert ich, dass mein letzter Zugriff auf die Seite im Dez. 2015 war, dass alle meine Passwörter den Empfehlungen entsprechen, ich sie aber mangels Zugriff auch nicht ändern kann. Ich bat um Freischaltung damit ich die neueste Version von Joomla neu installieren kann.
11. Januar
Nachdem bis Mittag keine Antwort kam rief ich wieder einmal bei Service an. Der Mitarbeiter informiert mich dass es wohl noch etwas dauert und ich doch Sitelock bestellen soll damit ich zukünftig einen Zugriff (Hack) von außen vermeiden kann. Dies habe ich auch gemach und kurz darauf bekam ich eine Email mit der Bestätigung.
Anmerkung: In dem Schreiben stand unter anderem: Bis zur Freischaltung Ihres Paketes und Konnektierung der Domains können bis zu 48 Stunden vergehen. Sie werden selbstverständlich von uns per E-Mail informiert, sobald Ihr
Produkt erfolgreich freigeschaltet wurde und Sie die Vorteile Ihres Zusatzartikels nutzen können.
Leider wurde mein Webspace zumindest bis heute (11.08.2016) nie wieder freigeschaltet so dass ich dieses Tool auch nie verwenden konnte.
12. und 13. Januar
Ich habe mehrfach beim Service nachgefragt wie der Stand ist ohne jemals eine Auskunft dazu zu erhalten. Nebenbei erwähnte ein Mitarbeiter von STRATO dabei dass es am 25.12.2015 wohl einen Hackerangriff auf STRATO gab. Ein Bezug zu meinem Problem sah er jedoch nicht.
Anmerkung: Zu diesem Zeitpunkt wurde ich noch immer in dem Glauben belassen, dass der Angriff auf meine Webseite am 8. Oder 10.Januar erfolgte.
14. Januar
Am 14. Januar erhielt ich erneut ein Schreiben von STRATO ABUSE mit dem Inhalt dass die von mir eingeleiteten Maßnahmen nicht ausreichend seien. Es wurden drei weiter Dateien (teilweise bereits 6 Monate als) benannt die angeblich verseucht sind. Ich sollte diese Löschen und den gesamten Content des Webspaces durchsuchen.
Genannt wurden die Dateien:
./joomla_06/tmp/install_542c394258459/language/page.php
./joomla_06/components/mtjnq.php
./joomla_06/components/com_banners/models/diff61.php
Anmerkung: Auf meine Aussagen bezüglich meiner Möglichkeiten zur Klärung der Sache (PSP-Skill, Aufrüsten des Systems wegen Zugriffsverweigerung nicht möglich, Passwort-Änderung wegen Zugriffsverweigerung nicht möglich ..) wurde nicht eingegangen sondern lediglich wieder das alte Muster abgespielt. (War dies vielleicht sogar ein computergenerierte Mail?)
Inzwischen war ich ziemlich sauer. Ich löschte die 3 Dateien (ohne zu wissen was ich damit veränderte) und schrieb ABUSE dass ich die Dateien gelöscht habe und nun endlich wissen will was ich zu tun habe (welche Dateien muss ich warum löschen…). Außerdem habe ich ABUSE aufgefordert den Webspace freizuschalten damit ich die neueste Version von Joomla installieren kann. Ich habe auch meine Telefonnummer angegeben mit der Aufforderung mich zurück zu rufen.
Anmerkung: Selbstverständlich erfolgte kein Rückruf – wie auch zu allen späteren Zeitpunkten nicht.
In einem zweiten Schreiben habe ich dann nochmals informiert dass meine letzten Änderungen am System schon länger her sind und ABUSE gebeten meinen Webspace auf den 31.12.2015 zurückzusetzen da ja aus dem bisherigen Informationen hervorgeht dass der Angriff am 8. Oder 10. Januar erfolgte. Weiterhin habe ich nochmals gebeten den Webspace freizuschalten damit ich die neueste Joomla-Version installieren kann.
Anmerkung: Keine Antwort auf meine Aussagen und Fragen.
16. Januar
Wieder eine Mail von ABUSE. Stereotype die gleichen Aussagen wie bisher. Es wurden 3 andere Dateien benannt (ebenso mehr als 6 Monate nicht mehr verändert).
./joomla_06/language/en-GB/inc7.php
./joomla_06/modules/mod_tags_similar/jkxggv.php
./joomla_06/plugins/system/press3.php
Zusätzlich wird empfohlen dass fremde Dateien die nicht durch mich installiert wurden zu entfernen. Außerdem dieser schöne Satz: Insofern Sie ein CMS-System (z. Bsp. "Joomla, Wordpress") nutzen, bitten wir Sie, dass Sie dafür regelmäßige Updates, welche vom Hersteller zur Verfügung gestellt werden, installieren.
Anmerkungen: Die ganze Zeit habe ich gebeten den Workspace freizuschalten damit ich die neueste Joomla-Version und Updates installieren kann. Toll, das wird mir nun empfohlen, aber die Berechtigung dafür bekomme ich nicht. Außer Joomla habe ich nichts installiert ob in den Directories von Joomla fremde Dateien sind kann ich nicht sagen. Es sind über 20000 Dateien. Woher soll ich wissen welche von Joomla und welche von jemand Fremden sind.
Ich rief wieder beim Service an und bekam zum ersten Mal eine vernünftige Aussage. Täglich wird von STRATO eine Sicherung gemacht und für ca. 4 Wochen aufbewahrt. Diese können von mir selbst zurückgespeichert werden. Der freundliche Mitarbeiter hat mich dann auch am Telefon begleitet als ich die aktuelle Instanz durch die Sicherung vom 31.12.2015 ersetzt habe. Bei einer Kontrolle der bisher bekannten Dateien konnte ich feststellen dass die nun aktiven Dateien einen älteren Timestamp aufwiesen.
Ich informierte ABUSE entsprechend per Email über den Restore des Systems aus der Sicherung vom 31.12.2015.
20. Januar
Wieder erhielt ich ein stereotypes Mail von ABUSE. Der Webspace kann nicht entsperrt werde weil er angeblich weiterhin schadhafte Dateien enthält. Wieder mal die ersten drei:
./joomla_06/tmp/install_542c394258459/language/page.php
./joomla_06/components/mtjnq.php
./joomla_06/components/com_banners/models/diff61.php
Freundlicherweise informiert mich ABUSE dass ich ja jederzeit über FTP auf die Daten zugreifen und diese löschen kann. Sie haben mir sogar eine Beschreibung geschickt.
Anmerkungen: Ich hatte langsam das Gefühl dass STRATO mich für blöd hält. Mehrfach hatte ich ja schon informiert, dass ich die Daten per FTP gelöscht habe.
Erneut rief ich den Service an und verlangte einen Manger zu sprechen. Mir wurde gesagt dass dies nicht möglich ist. Nach weiteren Drängen wollte der Mitarbeiter sein Chef darüber informieren. Auf meine Frage wie ich mich bei der Geschäftsführung beschweren kann wurde mir gesagt dass ich in die Betreffzeile einer Mail die Bezeichnung ‚Vorstandsbeschwerde‘ schreiben soll.
Anschließend habe ich eine Email mit genau dieser Betreffzeile geschrieben. In dem Schreiben habe ich alle aufgeführt was bis dahin geschehen war.
Anmerkungen: Weder der Vorstand noch der Manager des Service-Mitarbeiter hielt es bisher für nötig sich mit mir in Kontakt zu setzen. Einfache Kunden sind offensichtlich einfach nur eine Last. Kundenbeziehung stelle ich mir anders vor.
21. Januar
Anstelle einer Mail aus der Geschäftsführung kam wieder mal eine Mail von ABUSE:
wir übernehmen keinen kompletten Scan Ihres Webspaces oder übersenden
komplette Listen. Es handelt sich bei den Informationen lediglich um
Beispieldateien, welche wir freundlicherweise an Sie übermitteln.
Bitte beachten Sie zusätzlich, dass Webinhalte regelmäßig auf
Sicherheitslücken und / oder Updates überprüft werden müssen. Dieses
erfolgt ausschließlich durch den Kunden selbst bzw. dessen Beauftragten
Wieder wurde mir gesagt dass mein Webspace nicht freigeschaltet wird und ich doch das tun sollte was mir schon die gesamte Zeit gesagt wird.
Anmerkungen: Die halten mich wirklich für blöd.
22. Januar
Ich löschte nochmals die Joomla-Instanz per FTP und lud die Sicherung vom 26.12.2016 (weiter zurück konnte ich zu diesem Zeitpunkt nicht mehr) zurück. Gemäß der bisherigen Aussagen dass das Problem am 8.1. oder 10.1. Auftrat musste damit das Problem beseitigt werden. Dies habe ich ABUSE auch geschrieben und darauf hingewiesen dass andererseits die Prüfroutinen von ABUSE der Auslöser für das Problem sein müssten.
24. Januar
Am 24. Januar erhielt ich die Rechnung für das 1. Halbjahr des Vertrages.
Ich antwortete sofort dass ich die Einzugsgenehmigung mit sofortiger Wirkung entziehe und ich nicht bereit bin zu Zahlen bevor mein Webseite wieder Online ist.
Ich erhielt eine automatisierte Antwort dass ich den Service zu kontaktieren habe. Dies habe ich dann auch getan und den Mitarbeiter eben dieses nochmals erklärt.
25. Januar
Erneut erhielt ich eine stereotype Email von ABUSE dass der Webspace nicht aktiviert werden kann weil noch infizierte Dateien vorhanden sind:
./joomla_06/tmp/install_542c394258459/language/page.php
./joomla_06/components/mtjnq.php
./joomla_06/components/com_banners/models/diff61.php
Anmerkungen: Wie kann dies sein? Angeblich wurde meine Präsenz Anfang Januar infiziert; das Einspielen einer Sicherung vom 26.12.2015 beseitigt dieses Problem aber nicht!!! Zudem haben die oben aufgezeigten Dateien wieder einen Timestamp vom 8.1. bzw. 10.1. 2016.
Ich löschte und kündigte meine 1. Domain (zu diesem Zeitpunkt hatte ich noch 4). Alle Dateien dieser Domain löschte ich per FTP
26. Januar
Ich löschte ebenso alle Daten der restlichen Domains per FTP und lud nur die Dateien der wichtigsten Domain von der Sicherung am 2.1.2016 zurück. Auf einen früheren Sicherungsbestand hatte ich mittlerweile keinen Zugriff mehr. Damit waren nur noch die Dateien einer Domain auf dem Webspace. Alle mir bekannten Dateien überprüfte ich auf den Timestamp. Alle hatten ältere Eintragungen als die von STRATO benannten fehlerhaften Dateien.
Weiterhin sicherte ich diesen Stand per FTP auf meinen eigenen Rechner.
Anschließend informierte ich ABUSE über diese Maßnahme und forderte zum wiederholten Mal die Freischaltung meines Webspaces.
Bezüglich meines Kündigungsschreibens wurde ich per automatisierter Email informiert dass die Bearbeitung wegen hoher Arbeitslast noch etwas dauert.
27. Januar
Bezüglich meines Kündigungsschreibens wurde ich per automatisierter Email informiert dass die Bearbeitung wegen hoher Arbeitslast noch etwas dauert.
28. Januar
Per Email wurde die Kündigung der Domain bestätigt und ein AuthCode zugesandt.
29. Januar
Wen überrascht es noch? Erneut die gleiche stereotype Antwort von ABUSE: Es sind noch Schadprogramme vorhanden sie folgende Beispieldateien:
./joomla_06/tmp/install_542c394258459/language/page.php
./joomla_06/components/mtjnq.php
./joomla_06/components/com_banners/models/diff61.php
Der Webspace kann nicht freigeschaltet werden.
Anmerkungen: Nochmals zusammengefasst:
- Zu diesem Zeitpunkt waren nur noch die Dateien einer Domain auf meinem Webspace.
- Diese Dateien waren von einer Sicherung am 2.1.2016 zurückgeladen.
- Ich hatte eine Kopie dieser Daten auf meinen privaten Rechner gezogen.
- Online hatte niemand, auch ich nicht Zugriff auf diese Domain.
- Nur ABUSE hatte Kontrollprogramme über meine Daten laufen lassen.
- Bei der Überprüfung der oben genannten Dateien stellte ich fest, dass sie auf meinem Webspace verändert worden waren. Sie hatten andere Timestamps als zum Zeitpunkt der Rücksicherung und auch im Vergleich mit der Sicherung auf meinem privaten Rechner.
Mein Verständnis von IT ist, dass Daten nur verändert werden können wenn eine Anwendung läuft oder manuelle Veränderungen durchgeführt werden. Da ausschließlich ABUSE mit seinen Kontrollprogrammen darauf zugegriffen hat ist für mich eindeutig klar, dass ABUSE die Daten verändert hat.
Nun schrieb ich dies an ABUSE und lehnte jede weiter Änderung durch mich ab da ja ABUSE für diesen Zustand verantwortlich ist. Weiterhin drohte ich mit einer Anzeige wegen Geschäftsschädigung falls ABUSE nicht sofort für eine Lösung sorgen würde.
30. Januar
Bezüglich meines Entzugs der Einzugsermächtigung erhielt ich eine Email dass ich diesen nochmals per Email an STRATO schicken müsse.
31. Januar
Ich schickte per Email nochmals den Entzug der Einzugsermächtigung an den Service mit der Bitte um Weiterleitung an die Buchhaltung. Außerdem forderte ich die Buchhaltung auf mir die Beträge für die letzte Rechnung sowie der Anwendung Sitelock – die ich ja überhaupt nicht nutzen konnte – zurück zu erstatten.