Nachdem wir unsere IT-Infrastruktur eingerichtet hatten, begannen wir damit, Kontakt mit den Veranstaltern per E-mail aufzunehmen und ihnen ihre Benutzerkonten zuzuschicken.
Wir wollten auch “Beta-Tests” für die YRoNS-App durchführen, damit wir die meisten Probleme noch vor der Konferenz lösen konnten. Dafür benötigten wir aber ein Datenbank-Management-System, um die Statistiken und andere Dateien in der Datenbank abfragen zu können.
Cyberangriff!
Um eine Routineaufgabe zu erledigen habe ich unsere Webseite besucht. Da habe ich bemerkt, dass obwohl die Domain errichbar ist, kann ich das WordPress-Instanz nicht laden. Als ich mich ins Datrenbank-Management-System eingeloggt habe, konnte ich sehen, dass alle Dateien gestohlen worden waren.
Was ist hier passiert?
Nach diesem Inzident haben wir nach möglichen Sicherheitsproblemen gesucht, bevor wir weitere Schritte unternommen haben. Wir haben alle betroffene Systeme gestoppt und erst danach neu gestartet, nachdem wir festgestellt haben, dass sie sicher sind.
Das Problem lag darin, dass wir sehr schlechte Kennwörter verwendet und unsere Datenbank nicht richtig konfiguriert haben (wir haben das Host-Feld schlecht gewählt, deshalb konnte man auch von außerhalb des Rechenzentrums einloggen).
Die Lehre
Nach diesem Ereignis haben wir alle Kennwörter geändert und unsere Datenbank neu konfiguriert. Wir haben auch unsere phpMyAdmin-Instanz durch zusätzliche Cloudflare-Regeln abgesichert.
Wir haben auch ein Auto-Backup-System eingereichtet, das die gesamte Datenbank jeden Tag dreimal speichert und überprüft. Zusätzlich haben wir auch ein Prometheus Monitoring-System installiert, um unsere gesamte Infrastruktur überwachen zu können.
Leave a Reply