Tarnkappe.info an Drachenlord verkauft? Aufbereitung eines Hacks

Vergangenen Sonntag, am 27. Oktober, erschien hier auf Tarnkappe.info ein Artikel mit den Titel „In eigener Sache: Drachenlord kauft tarnkappe.info auf“. Damit haben die Hacker lediglich den Erfolg ihrer Aktion demonstrieren wollen. Wir haben den Angriff ausführlich analysiert.

Tarnkappe.info gehackt, aber von wem und warum?

So ist das immer. Kaum ist der Betreiber längere Zeit nicht erreichbar, wird das erste Mal in der Geschichte des Blogs ein ernsthafter Versuch unternommen, sich mit allen Zugangsrechten bei WordPress einzuloggen. Natürlich hat Rainer Winkler aka Drachenlord die Tarnkappe nicht gekauft. Doch mit diesem spaßigen Titel wollten die Urheber des Hacks erreichen, dass auch Außenstehenden auffällt, dass hier etwas nicht in Ordnung sein kann.
Nach intensiven Recherchen und der Sichtung der Logs wird klar, was am 27. 10. passiert ist.


Die IP-Adresse des Angreifers gibt es gar nicht!

vBulletinDie IP-Adresse ist offiziell zur künftigen Nutzung vorgesehen und momentan gar nicht vergeben. Es handelt sich dabei um das Netz 248/8. Der Angreifer hat keine Mühe gescheut, um seine Herkunft erfolgreich zu verschleiern. Das lässt den Hack schon mal in einem sehr professionellen Licht erscheinen. Kriminelle haben keinen Grund, uns hacken zu wollen. Wer gegen Bezahlung in Webseiten Dritter einbricht, will damit Geld verdienen. Bei einem Blog gibt es kein Guthaben oder ein Wallet, was man ausrauben könnte. Es gibt auch keine wertvollen Dateien oder sonstiges geistiges Eigentum, was man kopieren könnte. Die wenigen Entwürfe, die noch nicht veröffentlicht wurden, kann man an einer Hand abzählen. Klar haben wir auch unsere Hater. Aber die investieren wohl kaum so viel Geld in einen derart hochkarätigen Hack. Doch wer soll es sonst sein? Die Behörden auf der Suche nach Drogen oder anderen Zufallsfunden? Theoretisch möglich, doch in dem Fall hätte man es wohl vorgezogen, den Blog dauerhaft unbemerkt zu überwachen. Beispielsweise um IP-Adressen von Autoren oder Kommentatoren zu erhalten. Doch der Angreifer hat es direkt nach dem Einbruch darauf angelegt, bemerkt zu werden.

Die genaue Aufbereitung des Hacks

Im ersten Schritt ging der Hacker über das Konfigurationstool für Webhosting, namens Plesk. Erste Angriffsstelle war also der Hoster. Bereits über mehrere Tage hinweg gab es bei Plesk immer wieder Versuche, sich dort mit Admin-Zugang einzuloggen. Nachdem man sich am Sonntag mit den höchsten Zugriffsrechten einloggen konnte, loggte sich die Person im Tarnkappe Benutzer ein und hinterlegte ein SSH key. Im nächsten Schritt erfolgte der Login in das phpmyadmin. Im nächsten Schritt änderte der Hacker das Passwort von Lars Sobiraj, um später unter seinem Namen den Drachenlord-Beitrag einstellen zu können. Last, but not least erfolgte der Login bei WordPress. Und als auch der abgeschlossen war, wurde der Artikel veröffentlicht.

Hintergrund & Motivation bleiben unklar

Stellt sich abschließend die Frage, was die Aktion eigentlich bewirken sollte. Eine Untersuchung? Dafür war die Zeit wahrscheinlich zu kurz. Ein Warnschuss an den Betreiber? Eine Fun-Aktion, um zu zeigen, dass man es draufhat? Bei der Redaktion hat sich bis dato niemand zu diesem Angriff bekannt. Von daher wissen wir gar nicht, vor was wir gewarnt werden sollen. Auch konnten wir auf dem Server keine Dateien feststellen, die eine dauerhafte Überwachung der Aktivitäten ermöglicht hätte.

Fest steht lediglich, dass dies nicht das Werk eines Anfängers war, ganz im Gegenteil. Die Machart erinnert an die von behördlichen Hackern. Die allerdings hätten überhaupt keinen Grund, hier einzudringen. Dem Betreiber von Tarnkappe.info wirft man im Durchsuchungsbeschluss vor, über das Forum den Handel mit Drogen ermöglicht oder zumindest unterstützt oder toleriert zu haben. Dann aber hätte man das Forum und nicht den Blog hacken müssen.

Tarnkappe.info

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem bringt Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.

Vielleicht gefällt dir auch

39 Kommentare

  1. Hausmeister Krause sagt:

    Hahahahaha.

  2. Umbriel sagt:

    Auf Cloudflare setzen, aber phpmyadmin und den WordPress Login nicht absichern ist schlicht weg schon Geistige Umnachtung sorry ist so. Schon eine htaccess Datei mit einem Passwortschutz hätte jeden Angreifer den Wind aus den Segeln genommen. Alleine schon der umstand das phpmyadmin aufrufbar war oder ist, ist schon mehr als dämlich. Bleib jetzt die Hoffnung das daraus gelernt wurde.

  3. CSharpy sagt:

    Schau dir mal Sucuri an um solche Hacks in Zukunft zu verhindern.

  4. CSharpy sagt:

    Schau dir mal Sucuri an.

    Gruß

  5. Tim sagt:

    Plesk ist sicherheitstechnisch der letzte Murks LOL

  6. Anonymous sagt:

    huhu,

    ich denke die frage war nicht „ob“ sowas passiert, sondern „wann“
    tarnkappe ist sowas wie ein scene treff, da laufen nich nur schafe rum :D
    aber alles gut ich denke die crew hats unter kontrolle – also alles grün

    ich drück euch die daumen das es lediglich ein statement war und nix schlimmeres.

    ich verstehe aber nicht so ganz wie und warum ich als user betroffen bin und welche daten er über micht einsehen/hacken konnte?

    die ip von meinem vpn anbieter?
    die fake email bei web.de?
    den erfundenen namen und benutzerdaten?
    gibt es tatsächlich user die sich mit klardaten anmelden und jetzt zittern?
    meine manchmal überflüssigen kommentare :D :D ?

    hmmmmm – ich weis net wo mei problem bei dem hack liegt :D ich seh des ganze entspannt und irgendwie lustig – das mit dem artikel reinsetzen (sorry lars is net bös gemeint :D ) . aber das beste daran ist, dass der artikel an sich irre spannend ist inkl. der dinge die noch in den kommentaren kommen :lol:

    lg

  7. Die Saga sagt sagt:

    Scheinbar läuft das Forum wieder. Was war denn los?
    Euer Board wurde mehrfach gehackt?
    Nun einfach so zu tun als, wäre wieder alles in Ordnung ist meiner
    Meinung nicht der richtige Weg.

    Natürlich war das eine Fakemeldung mit dem Drachenlord.
    Aber einige Besucher machen sich auch Sorgen um Ihre Daten, ob diei bei
    euch gut aufgehoben sind. Deswegen wahrscheinlich auch so wenig
    Neueinträge im Forum.

    Redet bitte Tacheles, und hinterfrage deinen Programmierer ob er der
    richtige für den Job ist. Das sind schon andere geflogen wegen kleinerer
    Dinge. Viele warten auf ein Statement, am besten noch Heute.

  8. BoostRacerKing sagt:

    Wie können die euch Hacken ist seit ja so ein Scene Forum das ist ja Peinlich

  9. Dämon sagt:

    Hast du dir schon mal ein Gemüse, z.B. eine Gurke oder einen Rettich eingeführt?

  10. The Inviter sagt:

    Haben/Hätten der/die Angreifer sich theoretisch Email/Pw daten ziehen können?

    Hat er alles. Willkommen bei Tarnkappe.

  11. BLM sagt:

    Meddl loide
    Es war mit Sicherheit Rainer W. Wegen der fiesen Berichterstattung, Herr Newstime hat ja auch schon mit ihm zu kämpfen. Dieser Mensch ist einfach unberechenbar

  12. ohje sagt:

    richtige Profis am werken hier…

  13. Michel sagt:

    Kotmidas-Effekt

  14. Anonymous sagt:

    Wann gehts denn wieder weiter im Forum?

  15. noname sagt:

    eine Frage die ich viel interressanter finde:
    Haben/Hätten der/die Angreifer sich theoretisch Email/Pw daten ziehen können?

  16. Netflixlover sagt:

    Nennt sich Kotmidas Effekt alles um den Drachenlord herum verwandelt sich zu Scheiße naja nun hast du es selbst gemerkt :D

  17. nobody sagt:

    Die Aufarbeitung lässt zu wünschen übrig. Wie kam der Angreifer als Admin in’s Plesk? Ein Plesk Zero-Day? Ein simples Passwort? Die laterale Bewegung ist danach ja trivial.

  18. Noah sagt:

    Warum wurde der Artikel nachträglich verändert ? War nicht eine Verlinkung zu BoungeCloud vorher in dem Artikel ? Wieso wurde die entfernt, kommt von Paul Federer auch noch ein Statement da sind ja ggf mehrere Kunden betroffen da sollte man transparent sein Und nun wurde das Forum doch gehackt ?

    • Pascal sagt:

      Ich denke es ist keine positive Werbung, wenn hier öffentlich einfach so verbreitet wird, dass BungeeCloud die alleinige Schuld am Hack trägt. So lohnt es sich ja nicht das Hosting-Paket zu sponsorn.

      • Quatsch! Kein Einblick, aber direkt irgendwelche Schuldige benennen, so mag ich das!

        • Noah sagt:

          Warum wurde dann, wenn in dem Artikel quasi steht das es über das Plesk von dem Hoster gehackt wurde der Hoster auf ein mal gelöscht als Verlinkung und gibt BoungeCloud auch ein Statement dazu ? Ich habe dort auchh VPSen und sollten die Hacker wie hier im Artikel steht vorgegangen sein, dann würden sie ja auch andere Kunden sehr warscheinlich auch Zugriff haben ?

        • Dave sagt:

          Ich habe es auch so aufgefasst, dass ihr (bzw. Clemens) die Schuld beim Hoster und seiner fehlenden Wartung der Plesk-Installation sieht. So war zumindest mein Eindruck als ich den ursprünglichen Artikel gelesen habe. Es ist also nicht korrekt, dass die Plesk-Installation des Hosters Schuld ist?

          • Nein, ich sehe die Schuld nicht beim Hoster.

            • Noah sagt:

              Also war es doch nicht wie beschrieben der Plesk Zugang bei dem Hoster ?
              Verstehe langsam gar nichts mehr – Ist mir auch neu das Kommentare moderiert werden.
              Bin auf die weitere Entwicklung gespannt, als Kunde des besagten Hosters habe ich jedenfalls mahßnahmen getroffen.

              • Die Kommentare im Blog wurden seit jeher moderiert, um uns vor juristischen Problemen zu bewahren. Moderiert heißt, dass sie vor der Freischaltung kurz quergelesen werden…

                • HIDDENPROCESS sagt:

                  Hallo Ghandy,
                  ich würde mich gerne der eigentlichen Frage des Vorgängers anschließen: wo war jetzt das Problem bzw. welche Software oder welcher Dienstleister trägt die Schuld? Gerade der sehr spannende Teil, wo jetzt das Problem lag fehlt leider.
                  Was unternehmt ihr um das in Zukunft zu vermeiden/auszuschließen? Ist auch euer Matomo betroffen? Wurden dort Daten entwendet (Stichwort: DSGVO).

          • Clemens sagt:

            Jedenfalls ist klar das der „Hacker“ Zugriff auf Plesk Bereiche hatte, auf welche wir nicht mit unserem Login zugreifen können.
            Von dort erfolgte dann der Login in den Tarnkappe Account.

            Der Plesk läuft auf php 7.0. Automatische Updates sind aktiv.

            • Anonymous sagt:

              Für mich nicht wirklich vorstellbar das sich innerhalb so kurzer Zeit so viele Cloudbesitzer hier melden, die unbedingt wissen wollen was da los war.
              Nein, da will einer Druck machen indem er mehrere Namen benutzt. Pennywise vermutlich nicht, aber ich kenne da noch jemanden der sich hier gegenseitig in Kommentaren unterhalten hat. Einer der immer schon sehr rachsüchtig war.

              Grüße von.. Du errätst es vermutlich selber.

              • Noah sagt:

                Nimm deinen Aluhut ab ich bin der einzige der „behauptet“ einen VPS dort zu haben und den besitze ich auch darüber brauch ich mit einem Aluhutträger nicht disskutieren.
                Die Frage ist wohl berechtigt welche die anderen sich hier auch stellen welche daten waren nun KONKRET in den Händen des/der Hacker ? Warum Äußert sich der Hoster nicht dazu wenn es über ihn lief und sogar noch am Ende verschleiert um welchen HBoster es geht ?

              • Noah sagt:

                Ich bin der einzige der „behauptet“ dort einen VPS zu haben nimm dir mal den Aluhelm ab und lass etwas frische Luft an den Kopf.

                Das andere nachfragen wo genau jetzt der Fehler liegt, nachdem der Hoster hier erst namentlich genannt wurde und dann wiededr nicht, kann ich nachvollziehen du nicht ?

                Oder ist bei dir Interesse an der Sache = Böse verschwörung von MultiAccounts ddie dir dein KLeben schwer machen wollen, such dir Hobbys.

  19. egal sagt:

    Warum sagt man den Usern nicht, was heute Nacht (hab es durch Zufall beobachten können), im Forum geschehen ist?

    Ja, mit dem Namen „Drachenlord“ wurde wieder „gespielt“.

  20. dampf99 sagt:

    Hallo,
    nachdem jetzt ( 31.10.2019 14:38 Uhr) das Forum NICHT ONLINE IST ( aus Sicherheitsgründen , wie es dort steht )
    meine Frage:
    hat das mit dieses Text zu tun? ZITATANFANG „Dem Betreiber von Tarnkappe.info wirft man im Durchsuchungsbeschluss vor, über das Forum den Handel mit Drogen ermöglicht oder zumindest unterstützt oder toleriert zu haben. Dann aber hätte man das Forum und nicht den Blog hacken müssen.“ ZITATENDE

    Gruss
    dampf99

  21. NanoPolymer sagt:

    Gut das wir das Mal geklärt haben bzw nicht wie auch immer. Hatte mich zumindest über den Artikel gewundert und dachte mir schon so etwas in der Richtung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.