Ich kann unglaublich viel Zeit am Computer verbringen. Die meiste Zeit davon im Internet. Ich chatte gerne mit Freunden, und in Zeiten der Pandemie verbringe ich viel mehr Zeit mit Whatsapp und Messenger als je zuvor. Dazu kommt, dass die Hälfte meiner Freunde im Ausland lebt, und ich sie auch ohne Pandemie nur selten sehen würde.
Wenn ich nicht chatte, bastele ich unheimlich gerne Webseiten. Wie diese hier.
Sobald ich fertig bin, poste ich 4 oder 5 Artikel, und dann ist der Reiz des neuen verflogen und sie verstaubt im Netz. Wie diese hier.
Dabei ist »Katjastrophe« doch ein super Name, und vor allem ist er nicht von vorneherein auf ein Thema festgelegt, wie es zum Beispiel »DieBestenPlaystationSpieleDerWelt« wäre. Naja, okay, Katastrophen spielen eine Rolle, aber das MUSS ja nicht so sein. Ich kann ja Katjastrophen und anderes Zeug posten.
Also bin ich jetzt hier und schreibe meinen ersten Beitrag seit…. ja, eigentlich seit Anbeginn der Webseite irgendwann 2018.
Und warum? Das war eine kleine Katastrophe heute. Eine andere Webseite, die ich mal gebaut hatte, wurde gehackt. Ich weiss nicht mal wann, ich habe es erst heute bemerkt. Und das kam so:
Schon seit längerer Zeit bekomme ich alle paar Wochen eine Email von WordPress, in der steht, das jemand eine Passwortänderung für das Administratoren-Konto angefordert hat. Jemand hat also die Login-Seite zum Backend aufgerufen, und auf den »Passwort vergessen?« Link geklickt. Das ist nicht schwierig zu finden, der Backend-Login ist bei den meisten WordPress Installationen immer unter derselben Adresse zu finden. Kennst Du einen, kennst Du 90% der anderen. Aber man braucht natürlich den Benutzernamen und das Passwort, um dort weiterzukommen. Einen gültigen Benutzernamen herauszufinden ist auch nicht schwer, wenn man sich ansieht, wer die bereits bestehenden Blogbeiträge verfasst hat. Sehr häufig ist der angezeigte Name auch der Login-Name. Nur das Passwort fehlt jetzt noch. Und dafür gibt es die »Passwort vergessen?« Funktion. Wenn man da draufklickt, wird eine Email an den Besitzer des Logins gesendet, und er kann über einen Link sein Passwort zurücksetzen. Einem Fremden, der keinen Zugriff auf mein Emailkonto hat, nützt das natürlich nichts.
Ich ändere regelmässig meine Emailpasswörter, und hatte deshalb keinen Grund anzunehmen dass jemand mein Passwort zurücksetzen kann. Ich ging davon aus, dass es sich bei dem »Fremden« um einen automatischen Bot handelt, der alles abgrast und alles »anklickt« was anzuklicken geht, in der Hoffnung auf eine Kommentarfunktion, wo er Spam Links posten kann. Das passiert auf allen Blogs, auf denen Kommentare zu Beiträgen erlaubt sind. Früher oder später muss man Kommentare löschen oder moderieren, weil irgendwelche Bots dort Links zu Viagra und Penisvergrößerungen posten.
Ich ignorierte diese Passwort Mails also jedesmal. Außerdem war die Seite – wie so viele meiner Internet Projekte – nie fertig geworden, sondern war sozusagen seit Jahren »in den Startlöchern«. Also, das Gerüst stand, es gab eine »Über mich« Seite, ein Impressum, eine Datenschutzerklärung, zwei News Einträge, und sonst nicht viel. Keine Inhalte, weil ich das Ding einfach auf Eis gelegt hatte. So wie diese Seite.
Heute nachmittag bekam ich mal wieder so eine Passwort Mail, die mich daran erinnerte, dass die Webseite ja auch noch existierte. Ich rief die Seite also im Internet auf, beglückwünschte mich selbst zu dem Design, das mir immer noch sehr gut gefiel, und überlegte, ob ich mal was aktualisieren sollte.
Und da war er:
Mitten im Text – ein Spam Link zu einer thailändischen Seite.
Wie kam der da hin? Er war nicht etwa als unmoderierter Kommentar unter einem Beitrag erschienen, sondern er war mitten im Text einer Seite in den Text eingefügt worden. Sofort loggte ich mich ins Backend ein und öffnete die Seite im Backend. Tatsächlich. Der Link war in der HTML Seite eingefügt worden. Das konnte nur jemand tun, der sich ins Backend einloggen kann. Der mein Passwort hat.
Sofort änderte ich alle Passwörter. Nicht nur für mein Administratoren-Konto, sondern gleich für alle Konten, die Zugriff haben. (Bei dieser Webseite waren es »nur« zwei weitere Personen aus meinem engeren Umfeld, die ich mal um Bilderinhalte angehauen hatte.) Vorsichtshalber auch für meine Emailkonten.
Ich kontrollierte alle Seiten und Beiträge, die auf der Seite veröffentlich waren, und fand noch eine handvoll weiterer Links, die da nicht hingehörten. Es war eigentlich recht clever. Hätte jemand einfach neue Beiträge veröffentlicht, die vor Links nur so strotzen, wäre das sofort aufgefallen. Stattdessen waren die Links mitten im Text von alten Beiträgen und von Unterseiten eingefügt worden, die ich grundlos gar nicht kontrollieren würde. Aber so tauchen sie trotzdem bei Google auf, jedesmal wenn meine brachliegende Seite vom Google-Crawler indexiert wird.
Ich habe diesen Spam natürlich sofort entfernt, aber ich fühlte mich persönlich angegriffen.
Jemand war in meinem persönlichen Webseiten-Wohnzimmer herumgestapft und hatte schwarze Fußspuren auf dem sorgfältig ausgesuchten Perserteppich hinterlassen. Ich war richtig wütend. Was fiel denen eigentlich ein! Ich wollte jemanden hauen und zur Rechenschaft ziehen.
Leider geht das nicht. Hacker hinterlassen keine Adresse, an der man sie finden kann. Ich musste also meinen Ärger schlucken und mich damit zufriedengeben, dass die Webseite nicht völlig kaputt gemacht wurde.
Um auf Katjastrophe zurückzukommen:
Diese kleine Hacker-Katastrophe führte dazu, dass ich alle meine WordPress-Projekte kontrollierte, und so stiess ich auch wieder auf Katjastrophe, das geduldig vor sich hinstaubte.
Tja, und nun bin ich hier.
Ich wünsche euch einen katastrophenfreien Sonntag!