Hacker veränderten einen Teil der bei PopNet gehosteten Webseiten. In der Folge war auf den betroffenen Webseiten für kurze Zeit nur noch die Meldung „Hacked by …“ zu sehen.

Wie Sie möglicherweise bemerkt haben, gelang es Hackern gestern Freitag, 02. Oktober 2009 um ca. 12.00 Uhr, verschiedene Webseiten auf einem unserer Web-Server zu manipulieren. Die Startseite bzw. etliche Unterseiten mit Standard-Skripts wurden durch einfache Textnachrichten ersetzt, deren Inhalt die Präsentation bestimmter Hackergruppierungen zum Ziel hatte. Es wurde jedoch zu keiner Zeit Schadcode oder Malware hinterlegt. Vereinzelt stellten wir Verlinkungen auf ostasiatische Seiten fest, welche wir sofort entfernten. Etliche Serversysteme weltweit wurden gleichzeitig attackiert und die Infektionen weltweit nahmen stetig zu.

Die Angriffswelle hielt über den ganzen Tag an und die Angreifer liessen sich wegen „Distributed Denial of Service (DDOS)“-Versuchen nur schwer unterdrücken. Wir haben uns in der Folge entschlossen, den Server ab 22.00 Uhr offline zu schalten, um die Lage besser beurteilen zu können und präventive Gegenmassnahmen einzuleiten.

Der Angriffspunkt und die Quelle konnten nun ermittelt und die Kunden-Websites gesamthaft bereinigt werden. Einzelne Hosting-Kunden werden von uns zeitnah über allfällige Anpassungen an ihrem Hosting bezüglich Sicherheitskriterien und aktuell eingesetzten Webtechnologien informiert. Wir haben zudem einzelne Websites aus Sicherheitsgründen vorübergehend deaktiviert.

Heute Samstag um 09.00 Uhr haben wir den Webserver wieder online geschaltet. Sämtliche Dienste laufen seither wieder ohne Einschränkungen.