Was der IT-Sicherheitsberater Uwe Berger dem LG Passau zu HOST EUROPE mitteilte

Wir sind seit Jahren Kunden des Web-Hosters Host Europe gewesen und entsprechend waren wir auch als vertrauenswürdig und seriös bekannt. Der Host Europe Kundendienst interessierte sich nicht dafür, sondern warf uns lediglich pauschal vor, Verursacher von fortgesetzten Phishing Attacken zu sein, was wir verständlicherweise energisch bestritten. Lediglich unsere Portalsoftware wurde durch externe Quellen missbraucht, die später noch genauer beschrieben werden.

HOST EUROPE wurde seitens BERGER über Hackerangeriffe schon zuvor informiert

Wir machten auch auf die bereits seit Monaten stattfindenden Angriffe der oben beschriebenen türkischen Hackergruppe aufmerksam und baten den Host Europe Kundendienst um Unterstützung, weil wir als Webpack Mieter weder Log Dateien einsehen konnten, noch tief greifende Veränderungen an den PHP Einstellungen des Webservers vornehmen konnten. Insbesondere betraf das die PHP Funktionen magic_quotes und safe_mode.

Derartige und auch andere Angriffstechniken wurden von uns täglich verfolgt und dokumentiert, was aus zahlreichen Berichten auf unserem Portal hervorgeht wie beispielsweise die Meldung vom 30. Juli zu den TOP 20 der am meisten benützten Angriffstechniken.

Wir kontrollierten aufgrund der Vorwürfe unsere Portalsoftware und fanden in der Tat einige Dateien, die für verschiedene Angriffe auf Unternehmen und Privatanwender benutzt werden können. So war beispielsweise ein Angriffswerkzeug namens c 99 Shell installiert, mit der Webserver Datenbanken aufgebrochen werden können. Zu dem Zeitpunkt wussten wir allerdings noch nicht, dass unsere Datenbank ebenfalls aufgebrochen worden war, weil es keine Hinweise dazu gab.

Die widerrechtlich in unser Portalsystem eingefügten Dateien wurden entfernt und es wurde mit dem Kundendienst eine Aktivierung unserer Domains vereinbart.

Zusätzlich baten wir den Hosteurope Kundendienst, uns unverzüglich telefonisch zu informieren, falls nochmals Einbrüche festgestellt werden. Der Kundendienst teilte uns daraufhin mit, dies sei so nicht möglich und wir hätten eben dafür Sorge zu tragen, selbst Einbruchsversuche mittels geeigneter Methoden zu unterbinden.

Webpacks-Betreibern werden relevante Einstellungsmöglichkeiten bei PHP und am Server verwehrt

Das war uns aber nur sehr bedingt möglich, da, wie eingangs bereits dokumentiert, Betreibern von Webpacks relevante Einstellungsmöglichkeiten an PHP und der Webserver Software Apache selbst verwehrt bleiben.

Ca. 30 Minuten später fanden wir erneut eine Email des Host Europe Kundendienstes, in der uns erneut vorgeworfen wurde, Verursacher von Phishing-Attacken zu sein. Erneut machten wir telefonisch auf die nach wie vor bestehenden Hackerangriffe der türkischen Gruppe aufmerksam und kontrollierten erneut sämtliche Dateien unserer Webseite.

Wir kontrollierten nochmals jede einzelne Datei der Portalsoftware und stellten erneut Einbruchsversuche fest. Die hierfür widerrechtlich in das Dateisystem unserer Portalsoftware eingefügten Dateien wurden vom Administrator selbst eigenhändig entfernt und es wurde nochmals eine frische wie aktuelle Version der Portalsoftware installiert.

Auf welchem Weg die widerrechtliche Installation der Angriffswerkzeuge erfolgte, entzog sich unserer Kenntnis, da uns seitens Hosteurope auch keine verwertbaren Log-Dateien zur Verfügung gestellt wurden.

Nach 24:00 Uhr wurden die Domains wieder freigeschaltet und wir begaben uns zur Nachtruhe, da der folgende Arbeitstag bereits um 06:00 Uhr wieder begann.

Um 05:30 Uhr des folgenden Tages wurden wir durch einen Telefonanruf eines Besuchers unserer Webseite auf die erneutet Nichterreichbarkeit unserer Domains aufmerksam gemacht.