
Website/Joomla! wurde gehackt!
Was tun?
Hinweise zur Vorgehensweise bei gehackten Websites
Eine gehackte Website ist eine potentielle Gefahr für den Domaineigner und für Dritte.
Eine schnelle und effektive Reaktion ist notwendig! Diese Tipps gelten -neben einigen Joomla-spezifischen Anmerkungen- für jede Art von Website, unabhängig welches Script zum Einsatz kommt.
1) Website deaktivieren
Warum?
Eine gehackte Seite kann eigene Schäden und Schäden bei Dritten verursachen. Z.B. durch Phishingscripte, Spams, illegale Downloads usw. Der Domaineigentümer wäre für derlei Schäden haftbar. Schadensminimierung
ist somit erste Pflicht!
Der Zustand der Seite wird "eingefroren", damit die Daten störungsfei untersucht werden können.
Wie?
- Passwortschutz setzen (.htaccess)
bei uns
allgemein
- oder Basisverzeichnis umbenennen
- Alle Daten inkl. Datenbank herunterladen und vom Server löschen
- Alle alten Zugriffsmethoden auf die Daten deaktivieren (FTP, SSH etc.).
Wichtig: Das einfache offline-Schalten über die Joomla!-Funktion reicht nicht aus!
2) Einbruch untersuchen und Lücke finden
Warum?
Es muss die ausgenutzte Sicherheitslücke und der Zeitpunkt des Angriffs gefunden werden, damit eine unverseuchte Sicherung ermittelt werden, sowie die Lücke geschlossen werden kann. Ohne diese Erkennung und Beseitigung wird ein typischer Angreifer (oft automatisiert) immer wieder Erfolg haben.
Wie?
- Zeitstempel veränderter Dateien ermitteln. Leider ist es oft so, das der sichtbare Zeitstempel manipuliert wurde. Dateien werden so künstlich älter vorgetäuscht. Zu beachten gilt auch der Zeitstempel des übergeordneten Verzeichnisses. Dieses bleibt meist unverändert und zeigt dann den Zeitpunkt der tatsächlichen Veränderung.
- Web-Server-Logs und FTP-Server-Logs untersuchen
einige Tipps
- eigenen PC nach Trojanern untersuchen. Hierzu am besten eine Boot-CD nutzen.
- Alle in Joomla! eingerichteten User prüfen! Gibt es ggf. unbekannte Super-Admins/User?
- Nach typischen Mustern in den Dateien suchen (z.B. "base64", "iframe" etc.)
- Nach Auffälligkeiten in den Logfile-Statistiken suchen.
- Vergleich aller Dateien inkl. Inhalte mit Sicherungsdaten (gutes Tool dafür ist "WinMerge")
- Scan aller Daten mit Hilfe guter Anti-Virenprogramme.
Die Untersuchung eines Hacks ist nicht trivial und erfordert eine gewisse Erfahrung! Wenn hier Unsicherheiten bestehen, sollte dieser elementar wichtige Schritt durch einen Profi erfolgen.
Seit geraumer Zeit ist das Ausspähen der FTP-Zugangsdaten in Mode gekommen. Auf dem lokalen PC eingenistete Trojaner lesen die Zugangsdaten mit. Oft in Verbindung mit dem FTP-Programm "Filezilla". Deshalb ist es sehr wichtig auch die FTP-Logs zu prüfen, um diesen Einbruch erkennen zu können.
Achtung: Sollte ein FTP-Hack vorliegen, sind alle anderen FTP-Zugänge, auf die der PC Zugriff hat, ebenfalls gefährdet oder bereits gehackt.
3) Daten löschen, saubere Sicherung laden, Passwörter ändern
Warum?
Angreifer hinterlassen fast immer Backdoor-Scripte, über die sie dann später jederzeit die Kontrolle über den Webspace bekommen ohne das es neue Sicherheitslücken geben muss. Dies sind oft sogenannte Shell-Scripte, die sich unter beliebigen Dateinamen in beliebigen Verzeichnissen befinden können. Diese zu finden ist sehr aufwendig! Deswegen sollten alle Dateien und alle Datenbankinhalte gelöscht werden und eine saubere Sicherung (zeitlich vor dem Angriff) zurückgespielt werden.
Vor dem Zurücksichern alle FTP-Passwörter neu setzen!
Nach dem Zurücksichern alle Joomla!-Passwörter der Superadmins ändern und alle Updates einspielen.
Wie?
- FTP-Passwort mit Hilfe der der Webhosting-Verwaltung ändern.
- Dateien löschen und Sicherung hochladen.
bei uns mit dem Dateimanager
- Datenbankinhalt per phpMyAdmin löschen und Sicherungsdump importieren.
- Im Joomla!-Backend alle Superadmin-Accounts und deren Emailadressen prüfen und Passwörter ändern!
An dieser Stelle scheitern leider viele User, weil keine Sicherungen existieren!
Sollte das der Fall sein, müssen alle Aktivitäten des Angreifers exakt anhand der Logs untersucht werden, damit man tatsächlich alle benutzten/erzeugten Dateien findet und entfernen kann.
4) Lücke schließen, Seite wieder freigeben
Warum?
Das Schließen/Entfernen der Lücke verhindert das ein Hack erneut Erfolg hat. Erfolgreich gehackte Seiten werden in der Szene verbreitet und immer wieder auch von neuen Angreifern besucht. Erst nach Schließung einer Sicherheitslücke darf eine Website wieder frei gegeben werden.
Wie?
Welche Lücke geschlossen werden muss, hängt von den Ergebnissen aus Punkt 2) ab.
Veraltete Scripte müssen geupdated werden und gestohlene Passwörter erneutert werden. Hinweise auf Lücken und verfügbare Updates findet man in der Joomla!-Community oder den jeweiligen Script-Herstellern.
Lesen
Sie hier, was Sie bezüglich der Sicherheit eines Joomla! beachten sollten!
Service für unsere Kunden
Wenn Sie ein Problem mit einer gehackten Website bei uns haben, melden Sie sich sofort.
Wir führen alle oben genannten Schritte für Sie durch!
Weitere Joomla-Hilfen finden Sie hier.
Wir haben weit zurückreichende Sicherungen aller Kundendaten auf unserem Backupsystem,
die wir Ihnen zur Verfügung stellen können.
Telefon: FAX: |
+49-(0)5032-933-068-0 +49-(0)5032-933-068-9 |
Telefon-Support: Mo bis Fr: 09:00 bis 17:00 Uhr |
E-Mail-Support: 24/7 Erreichbarkeit auch am Wochenende und an Feiertagen. info@fc-hosting.de Kontaktformular |