Eine gehackte Website ist eine potentielle Gefahr für den Domaineigner und für Dritte. Eine schnelle und effektive Reaktion ist notwendig! Das hier genannte Vorgehen gilt für alle Arten von Websites, unabhängig davon, ob ein Joomla!, WordPress, Typo3, Drupal, Conato oder irgend ein anderes Script zum Einsatz kommt.
Eine gehackte Seite verursacht eigene und Schäden bei Dritten. Z.B. durch Phishings, Spams, illegale Downloads usw. Der Domaineigentümer und Seitenbetreiber ist für derlei Schäden haftbar. Schadensminimierung ist somit erste Pflicht!
Der öffentliche und ungeschützte Zugriff auf die Website muss verhindert werden, damit der Angreifer nicht mehr agieren kann und damit kein Schaden mehr von der Seite ausgeht. Der Zustand der Seite muss "eingefroren" werden, damit die Daten störungsfei untersucht werden können. Die Daten innerhalb des gehackten Accounts nicht editieren, löschen oder umbenennen. All das verändert Zeitstempel und stört die Analyse.
Die ausgenutzte Sicherheitslücke und der Zeitpunkt des Angriffs müssen gefunden werden, damit der Zeitpunkt eines unverseuchten Backups ermittelt werden, sowie die Lücke geschlossen werden kann. Ohne diese Erkennung und Beseitigung wird ein typischer Angreifer (oft automatisiert) immer wieder Erfolg haben.
find * -mtime -3letzte Veränderung suchen, max 3 Tage alt:
find * -ctime -3Alle Zeitstemel einer Datei ausgeben:
stat datei
grep "POST " logfile >post.log grep "upload" logfile >upload.log grep "xxx.xxx.xxx.xxx" logfile >ip-xxx.xxx.xxx.xxx.logWeitere Beispiele sprengen hier den Rahmen.
Die Untersuchung eines Hacks ist nicht trivial und erfordert eine gewisse Erfahrung! Wenn hier Unsicherheiten bestehen, sollte dieser elementar wichtige Schritt durch einen Profi erfolgen.
Seit geraumer Zeit ist das Ausspähen der FTP-Zugangsdaten in Mode gekommen. Auf dem lokalen PC eingenistete Trojaner lesen die Zugangsdaten mit. Oft in Verbindung mit dem FTP-Programm "Filezilla". Deshalb ist es sehr wichtig auch die FTP-Logs zu prüfen, um diesen Einbruch erkennen zu können.
Achtung: Sollte ein FTP-Hack vorliegen, sind alle anderen FTP-Zugänge, auf die der PC Zugriff hat, ebenfalls gefährdet oder bereits gehackt.
Angreifer hinterlassen fast immer Backdoor-Scripte, über die sie dann später jederzeit die Kontrolle über die Website bekommen ohne das es neue Sicherheitslücken geben muss. Dies sind oft sogenannte Shell-Scripte, die sich unter beliebigen Dateinamen in beliebigen Verzeichnissen befinden können. Diese zu finden ist sehr aufwendig! Deswegen sollten alle Dateien und alle Datenbankinhalte gelöscht werden und eine saubere Sicherung (zeitlich vor dem Angriff) zurückgespielt werden.
An dieser Stelle scheitern leider viele User, weil keine passenden Backups existieren! Wir stehen auf dem Standpunkt das eine Bereinigung sämtlicher Dateien eines gehackten Webs ohne paassendes Backup nur in Ausnahmefällen möglich ist. Solche Webs haben oft zehntausende von Dateien und alle müssen inhaltlich geprüft werden. Wenn die Ergebnis der Analyse nicht wirklich absolut eindeutig sind, raten wir in so einem Fall zum Neuaufbau der Website.
Das Schließen/Entfernen der Lücke verhindert das ein Hack erneut Erfolg hat. Erfolgreich gehackte Seiten werden in der Szene verbreitet und immer wieder auch von neuen Angreifern besucht. Erst nach Schließung einer Sicherheitslücke darf eine Website wieder frei gegeben werden.
Wenn Sie ein Hack Ihrer Website bei uns feststellen, melden Sie sich sofort. Wir führen alle oben genannten Schritte für Sie durch! Wir haben zudem weit zurückreichende Sicherungen aller Kundendaten auf unseren Backupservern.
Wenn Sie Fragen haben, dann kontaktieren Sie uns.