thomaskekeisen.de

Aus dem Leben eines Bildschirmarbyters

Ich habe von 2008 bis Ende 2011 das Browserspiel Neagora zusammen mit meiner Mutter und Jochen Klein betrieben und die Geschichte dazu in mehreren Blog-Artikeln niedergeschrieben. Nachfolgend eine Übersicht aller Artikel. Ist der Artikel nicht anklickbar, wurde er noch nicht veröffentlicht. Du kannst gerne meinen RSS-Feed abonnieren, um eine neue Veröffentlichung rechtzeitig mitzubekommen.

Der Hack

Neagora-Story

Der Hack: Neagora-Story

Der Neagora-Hack

Am 22. Januar 2009 wurde Neagora gegen 15:20 Uhr Opfer eines Hacker-Angriffs. Konkret hat es ein Angreifer geschafft, den gesamten Quellcode unseres Spiels zu kopieren. Der Code bestand aus knapp 70.000 Zeilen, die über 1400 Dateien verteilt waren. Durch das laufende Backup des Angreifers war unser Server zum Zeitpunkt des Angriffs um ein vielfaches langsamer und wir wurden entsprechend auf den Angriff aufmerksam und konnten ihn auch - zumindest dachten wir das - abwenden.

Leider hatte der vermeintliche Hacker unbemerkt eine sogenannte Backdoor in Form einer PHP-Shell auf unserem Server installiert und am Samstag, den 25. Januar 2009, wohl nach Abschluss seiner Arbeiten, ein sogenanntes Defacement auf unser Spiel angewandt.

Der Angreifer nannte sich "PyTh@n" und wir haben natürlich sofort auch in Erwägung gezogen, eine Anzeige gegen diese Person zu erstatten. Ich hatte damals sehr intensiv recherchiert und eine Verbindung dieses Names und der Domain darkwow.de entdeckt. Der damalige Inhaber dieser Domain hat uns dann auch zugesichert, auf Anfrage der Polizei die IP-Adresse des Nutzers "PyTh@n" herauszugeben.

In der Zwischenzeit wurde der Quellcode von Neagora dann auch im mittlerweile nicht mehr erreichbaren "Untergrund-Forum" scriptzbase.org angeboten. Auch hier haben wir recherchiert und nach Möglichkeit so viele Errungenschaften wie möglich mit der Polizei geteilt. Unterstützt wurden wir sogar von anderen Nutzern der scriptzbase.org, die wohl ein Problem mit dem Handeln von "PyTh@n" hatten.

Das Defacing von Neagora
Neagora wird auf scriptzbase verkauft
Ein protokollierter Zugriff das Hackers in unserem System
Ein Kaufinteressent von Neagora den wir ebenfalls angezeigt haben
Ein Nutzer der Scriptzbase im Kontakt mit mir
In der Neagora-Kopie des Hackers war ebenfalls ein Virus

Den März 2009 verbrachten wir dann zu einem sehr großen Teil damit, Kopien von unserem Spiel zu finden und die Betreiber zu identifizieren. Wir hatten das große Glück, dass viele Raubkopierer unsere Software auf ihrem lokalem Computer installiert haben und dann von der lokalen Instanz versehentlich auf einen Link geklickt haben, der auf neagora.de verwiesen hat. Durch den ebenfalls fast immer übermittelten Referrer konnten wir dann meist sehr schnell auf eine Person oder IP-Adresse schließen.

Die meisten Kopien konnten wir so unkompliziert vom Netz nehmen. Leider konnte der Fall nie aufgeklärt werden, die Person hinter den Pseudonym"PyTh@n" wurde nie gefasst. Im Rahmen der Ermittlungen hat die Polizei übrigens tatsächlich mindestens eine Wohnung durchsucht und einen Computer beschlagnahmt. Nach meinem Kenntnisstand wurde hier aber lediglich ein Trittbrettfahrer gefasst, der sich am Nickname von "PyTh@n" bedient hat.

Eine Kopie von Neagora auf space-combat.de am 15.03
Ein Aufruf von neagora.de der von einer illegalen Raubkopie ausging
Besonders dreist: Eine Raubkopie wird auf neagora.at betrieben
Eine Kopie von Neagora auf overhill.de am 15.03
Neagora zum Verkauf auf account-shop.ws
Neagora zum Verkauf auf decodethe.net
Neagora zum Download auf Rapidshare
Die Scriptzsbase wurde ebenfalls Opfer eines Hackerangriffs
Die Scriptzsbase wurde ebenfalls Opfer eines Hackerangriffs
Die Scriptzsbase wird geschlossen

Wie genau es überhaupt zu diesem Angriff kommen konnte, habe ich leider auch nie komplett nachvollziehbar herausfinden können. Ich vermute, dass in einem sogenannten Key-Generator, mit denen ich seinerzeit experimentierte, entsprechender Schadcode enthalten war, der alle FTP-Zugangsdaten aus der sogenannten "Quick Connect bar" des von mir damals verwendeten Programmes FileZilla ausgelesen hat. Gegen diese Theorie spricht allerdings, dass ich dort weit mehr Zugangsdaten als nur die von Neagora gespeichert hatte, und keine dieser Seiten angegriffen wurde .

Seit diesem Vorfall speichere ich jedenfalls aufgrund dieser Theorie keine Passwörter mehr in irgendwelchen Programmen ab sondern nutze einen sicheren Passwortmanager wie KeePass oder 1Password.

Die aufwendigste Kopie von Neagora war übrigens ein Spiel, das der Raubkopierer "Black Morrigan" taufte und natürlich nach meiner recht direkten Kontaktaufnahme mit etwas Unverständnis vom Netz genommen wurde.

Screenshot der Neagora-Kopie Black Morrigan
Screenshot der Neagora-Kopie Black Morrigan
Screenshot der Neagora-Kopie Black Morrigan
Screenshot der Neagora-Kopie Black Morrigan
Screenshot der Neagora-Kopie Black Morrigan
Die Neagora-Kopie wurde schlampig bereinigt
Screenshot der Neagora-Kopie Black Morrigan
Neagora-Suche auf Black Morrigan
Die Offline-Nachricht zu Black Morrigan

Teilen

Ich habe von 2008 bis Ende 2011 das Browserspiel Neagora zusammen mit meiner Mutter und Jochen Klein betrieben und die Geschichte dazu in mehreren Blog-Artikeln niedergeschrieben. Nachfolgend eine Übersicht aller Artikel. Ist der Artikel nicht anklickbar, wurde er noch nicht veröffentlicht. Du kannst gerne meinen RSS-Feed abonnieren, um eine neue Veröffentlichung rechtzeitig mitzubekommen.

Kommentare