Es war ja nur eine Frage der Zeit. Nach fast zehn Jahren unfallfreien Betriebs ist mein Webserver am Morgen des 25.12.2025 gehackt worden. Hier läuft nicht nur dieser Server bcli.de, sondern auch noch ein Fileserver mit nexcloud, ein E-Mail-Listenserver mit dadamail und mehrere Fotoalben mit Lychee.
Die Angreifer wollten möglichst keinen Schaden anrichten, sie wollten nur die Kontrolle über den Server, einen shared server, gehostet bei Webgo, übernehmen. Deswegen waren die Schäden auch erst mal unauffällig.
Eine regelmäßige Benutzerin, die das Weihnachtsoratorium üben wollte, hat mich per E-Mail aufmerksam gemacht. Danke!
Es hat drei Tage gedauert, bis ich den Schaden überblicken konnte. Nur baue ich alles wieder auf. bcli.de war das erste Projekt und läuft nun wieder. Wenn was nicht funktioniert, sagt mir bitte Bescheid.
Nachbemerkung Ende Januar:
Inzwischen konnte ich nachvollziehen, dass die Angreifer meinen Server über Monate mit automatischen Scripten angegriffen haben. Die genaue Schwachstelle habe ich nicht identifizieren können, aber es war mit großer Sicherheit eine veraltete Version von Lychee. Darüber haben sie in der Lychee-Installation ein php-Script installiert, über das sie weitere Programme installieren konnten und schließlich vollen Zugriff auf den Rechner hatten.
Merke: So ein eigener Server ist was feines, aber man muss ihn wirklich regelmäßig warten. Und: Haltet Eure Programme aktuell!