Bitte ändert euer Passwort!
Im März 2026 wurde das Forum gehackt. Dabei hatten die Angreifer Zugriff auf die Datenbank und somit Zugriff auf eure Passwörter. Auch wenn das Forum kein Passwort im Klartext speichert, können die Angreifer eure Passwörter knacken. Bitte ändert daher dringend euer Passwort für das Forum. Solltet ihr das gleiche Passwort auch an anderer Stelle verwenden, ändert es bitte unbedingt an allen Stellen!
Infos zum Forum-Hack im März 2026
- Kupferdings
- Autor
- Offline
- Administrator
-
- Beiträge: 172
- Thanks: 500
Infos zum Forum-Hack im März 2026
Today 12:50 - Today 12:55
Hallo!
Wir freuen uns, dass wir euch nach längerer Wartezeit das Forum wieder in alter Pracht zur Verfügung stellen können.
Etwas sehr Wichtiges zuerst: Die Angreifer hatten grundsätzlich Zugriff auf die Datenbank und somit auch auf eure Passwörter. Die Passwörter stehen zwar nicht im Klartext in der Datenbank, jedoch können die Angreifer mit genügend Resourcen und Geduld die Passwörter knacken und dann im Klartext sehen.
Bitte ändert daher dringend euer Passwort!
Das gilt insbesondere, wenn ihr das hier im Forum verwendete Passwort auch an anderen Stellen verwendet. Bitte ändert euer Passwort dann unbedingt überall, wo ihr es verwendet habt, es ist prinzipiell nicht mehr sicher!
Die dazu passende Mitteilung wird an jeder Seite im Forum angezeigt. Das mag nach einigen Tagen lästig erscheinen, wird jedoch eine Weile so bleiben, da nicht jeder täglich im Forum vorbeischaut und uns die Mitteilung sehr wichtig ist.
Was ist eigentlich passiert?
Am 25.03.2026 erschienen mehrere ungewöhnlich Dateien auf dem Server. Diese legten nahe, dass ein Framework zur Verwaltung kompromittierter Server installiert worden war. Nach dieser Erkenntnis wurde der Server und damit das Forum sofort offline genommen, damit die Angreifer keinen weiteren Zugriff haben.
Wir haben grundsätzlich tägliche Backups, jedoch stellte sich bei genauerer Betrachtung der Backups heraus, dass der Server bereits am 11.03.2026 initial kompromittiert wurde, die Angreifer sich jedoch zunächst sehr unauffällig agierten bzw. den Server nicht um großen Stil für sich nutzten. Im weiteren Verlauf haben wir entschieden, den Server und das Forum nicht zu reparieren sondern von Grund auf neu einzurichten und nur die Daten des Forums zu migrieren. Die Entscheidung fiel, weil sich beim Vergleich von Dateien verschiedener Backups herausstellte, dass so ziemlich jede PHP-Datei des Forums mit Fremdcode verändert wurde und ein sicheres Bereinigen damit unmöglich erschien. Außerdem konnte aufgrund des gefundenen Frameworks nicht ausgeschlossen werden, dass im Betriebssystem weitere Backdoors eingerichtet wurden.
Wie kam es dazu?
Der Angriff erfolgte als Teil einer großen Welle von Angriffen auf Joomla-Installationen unter Ausnutzung der Sicherheitslücke CVE-2026-21628 . Das betroffene Asteroid-Framework für Joomla war bei uns Bestandteil des zugrundeliegenden Joomla Templates, auf dem das Aussehen des Forums basierte. Zum Zeitpunkt des Angriffs stand bereits ein Update von Asteroid zur Verfügung, dieses war bei uns jedoch aufgrund eines Kommunikationsfehlers noch nicht eingespielt. Updates von Asteroid standen nicht automatisiert zur Verfügung. Durch diese Kombination war das Forum angreifbar.
Wieso hat das jetzt so lange gedauert bis das Forum wieder da ist?
Wir hatten den Anspruch, den Angriff zu verstehen und nachzuvollziehen, um einen erneuten Angriff auf gleicher Basis verhindern zu können. Deshalb haben wir nicht einfach ein Backup eingespielt und gehofft, dass schon alles gutgehen wird. Unser Server wurde zu einem späten Zeitpunkt der Angriffswelle kompromittiert, weshalb der Angriff nicht dem typischen Muster der frühen Phase der Angriffswelle entsprach. Viele Joomla-Installationen wurden dazu genutzt, eine hohe Anzahl von Links auf zahlreiche Online-Casinos zu platzieren, die für menschliche Betrachter im Browser nicht sichtbar sind, wohl aber für z.B. Google. Dadurch wurde letztlich versucht, Suchergebnisse von Google zu manipulieren. Bei uns wurde dies so nicht mehr gemacht, weshalb wir nicht direkt auf die Spur des Angriffs gekommen sind und viele Backups auf Dateiebene inhaltlich verglichen haben, um den Angriff nachzuvollziehen. Das hat viel Zeit gekostet.
Wie wird verhindert, dass das wieder passiert?
Leider gibt es keine 100% Sicherheit. Gleichzeitig war unser Anspruch, die Sicherheit des Servers und des Forums noch besser zu machen.
Bei der Neueinrichtung des Forums wurde die Anzahl der Plugins nochmal reduziert. Wir verwenden jetzt nur noch Joomla mit dem Standard-Template, Kunena und ein Kunena-Template. Das reduziert die Angriffsfläche und ermöglicht durchgehend automatisierte Updates.
Darüberhinaus evaluieren wir aktuell Tools für ein stärker auf Angriffserkennung und Vorbeugung ausgelegtes Monitoring des Servers. Das beinhaltet beispielsweise, dass wir aktiv benachrichtigt werden, wenn Updates nicht sofort eingespielt wurden, bekannte Sicherheitlücken auf unseren Server zutreffen, PHP-Dateien abseits eines Updates verändert werden oder Dateien an Orten auftauchen, wo sie das nicht sollten.
Wie immer, wenn euch Dinge auffallen, die nicht funktionieren, ihr anders erwartet oder ihr Verbesserungsvorschläge habt, meldet euch gerne!
Wir freuen uns, dass wir euch nach längerer Wartezeit das Forum wieder in alter Pracht zur Verfügung stellen können.
Etwas sehr Wichtiges zuerst: Die Angreifer hatten grundsätzlich Zugriff auf die Datenbank und somit auch auf eure Passwörter. Die Passwörter stehen zwar nicht im Klartext in der Datenbank, jedoch können die Angreifer mit genügend Resourcen und Geduld die Passwörter knacken und dann im Klartext sehen.
Bitte ändert daher dringend euer Passwort!
Das gilt insbesondere, wenn ihr das hier im Forum verwendete Passwort auch an anderen Stellen verwendet. Bitte ändert euer Passwort dann unbedingt überall, wo ihr es verwendet habt, es ist prinzipiell nicht mehr sicher!
Die dazu passende Mitteilung wird an jeder Seite im Forum angezeigt. Das mag nach einigen Tagen lästig erscheinen, wird jedoch eine Weile so bleiben, da nicht jeder täglich im Forum vorbeischaut und uns die Mitteilung sehr wichtig ist.
Was ist eigentlich passiert?
Am 25.03.2026 erschienen mehrere ungewöhnlich Dateien auf dem Server. Diese legten nahe, dass ein Framework zur Verwaltung kompromittierter Server installiert worden war. Nach dieser Erkenntnis wurde der Server und damit das Forum sofort offline genommen, damit die Angreifer keinen weiteren Zugriff haben.
Wir haben grundsätzlich tägliche Backups, jedoch stellte sich bei genauerer Betrachtung der Backups heraus, dass der Server bereits am 11.03.2026 initial kompromittiert wurde, die Angreifer sich jedoch zunächst sehr unauffällig agierten bzw. den Server nicht um großen Stil für sich nutzten. Im weiteren Verlauf haben wir entschieden, den Server und das Forum nicht zu reparieren sondern von Grund auf neu einzurichten und nur die Daten des Forums zu migrieren. Die Entscheidung fiel, weil sich beim Vergleich von Dateien verschiedener Backups herausstellte, dass so ziemlich jede PHP-Datei des Forums mit Fremdcode verändert wurde und ein sicheres Bereinigen damit unmöglich erschien. Außerdem konnte aufgrund des gefundenen Frameworks nicht ausgeschlossen werden, dass im Betriebssystem weitere Backdoors eingerichtet wurden.
Wie kam es dazu?
Der Angriff erfolgte als Teil einer großen Welle von Angriffen auf Joomla-Installationen unter Ausnutzung der Sicherheitslücke CVE-2026-21628 . Das betroffene Asteroid-Framework für Joomla war bei uns Bestandteil des zugrundeliegenden Joomla Templates, auf dem das Aussehen des Forums basierte. Zum Zeitpunkt des Angriffs stand bereits ein Update von Asteroid zur Verfügung, dieses war bei uns jedoch aufgrund eines Kommunikationsfehlers noch nicht eingespielt. Updates von Asteroid standen nicht automatisiert zur Verfügung. Durch diese Kombination war das Forum angreifbar.
Wieso hat das jetzt so lange gedauert bis das Forum wieder da ist?
Wir hatten den Anspruch, den Angriff zu verstehen und nachzuvollziehen, um einen erneuten Angriff auf gleicher Basis verhindern zu können. Deshalb haben wir nicht einfach ein Backup eingespielt und gehofft, dass schon alles gutgehen wird. Unser Server wurde zu einem späten Zeitpunkt der Angriffswelle kompromittiert, weshalb der Angriff nicht dem typischen Muster der frühen Phase der Angriffswelle entsprach. Viele Joomla-Installationen wurden dazu genutzt, eine hohe Anzahl von Links auf zahlreiche Online-Casinos zu platzieren, die für menschliche Betrachter im Browser nicht sichtbar sind, wohl aber für z.B. Google. Dadurch wurde letztlich versucht, Suchergebnisse von Google zu manipulieren. Bei uns wurde dies so nicht mehr gemacht, weshalb wir nicht direkt auf die Spur des Angriffs gekommen sind und viele Backups auf Dateiebene inhaltlich verglichen haben, um den Angriff nachzuvollziehen. Das hat viel Zeit gekostet.
Wie wird verhindert, dass das wieder passiert?
Leider gibt es keine 100% Sicherheit. Gleichzeitig war unser Anspruch, die Sicherheit des Servers und des Forums noch besser zu machen.
Bei der Neueinrichtung des Forums wurde die Anzahl der Plugins nochmal reduziert. Wir verwenden jetzt nur noch Joomla mit dem Standard-Template, Kunena und ein Kunena-Template. Das reduziert die Angriffsfläche und ermöglicht durchgehend automatisierte Updates.
Darüberhinaus evaluieren wir aktuell Tools für ein stärker auf Angriffserkennung und Vorbeugung ausgelegtes Monitoring des Servers. Das beinhaltet beispielsweise, dass wir aktiv benachrichtigt werden, wenn Updates nicht sofort eingespielt wurden, bekannte Sicherheitlücken auf unseren Server zutreffen, PHP-Dateien abseits eines Updates verändert werden oder Dateien an Orten auftauchen, wo sie das nicht sollten.
Wie immer, wenn euch Dinge auffallen, die nicht funktionieren, ihr anders erwartet oder ihr Verbesserungsvorschläge habt, meldet euch gerne!
Letzte Änderung: Today 12:55 von Kupferdings.
Bitte Anmelden oder Registrieren um der Konversation beizutreten.