Hilfe - Verschiedenes

Meine Website wurde gehackt - was tun?

Eine gehackte Website ist eine potentielle Gefahr für den Domaineigner und für Dritte. Eine schnelle und effektive Reaktion ist notwendig! Unten genannte Vorgehen gilt für alle Arten von Websites, unabhängig ob ein Joomla!, WordPress, Typo3, Drupal, Conato oder irgend ein anderes Script zum Einsatz kommt.

 

Vorgehensweise

1) Website deaktivieren
Warum?

Eine gehackte Seite verursacht eigene und Schäden bei Dritten. Z.B. durch Phishings, Spams, illegale Downloads usw. Der Domaineigentümer und Seitenbetreiber ist für derlei Schäden haftbar. Schadensminimierung ist somit erste Pflicht!

Der öffentliche und ungeschützte Zugriff auf die Website muss verhindert werden, damit der Angreifer nicht mehr agieren kann und damit kein Schaden mehr von der Seite ausgeht. Der Zustand der Seite muss "eingefroren" werden, damit die Daten störungsfei untersucht werden können. Die Daten innerhalb des gehackten Accounts nicht editieren, löschen oder umbenennen. All das verändert Zeitstempel und stört die Analyse.

Wie?
  • Passwortschutz setzen (mit .htaccess-Datei). Das ist eine schnelle und effektive Methode.
    So bei uns: FAQ oder allgemein: hier, hier
  • Alternativ das Basisverzeichnis umbenennen
  • Alle anderen Zugriffsmethoden (z.B. FTP) auf die Daten deaktivieren/neu setzen und nur SSH für die Analyse mit neuem Passwort belassen. Wenn nur FTP und kein SSH möglich ist wird die Analyse erschwert.
  • Wenn eine Deaktivierung des öffentlichen Zugriffs nicht möglich ist, dann alle Daten inkl. Datenbank herunterladen und vom Server löschen. Dies verhindert allerdings eine sinnvolle Analyse des Hacks.
2) Einbruch untersuchen und Lücke finden
Warum?

Die ausgenutzte Sicherheitslücke und der Zeitpunkt des Angriffs müssen gefunden werden, damit der Zeitpunkt eines unverseuchten Backups ermittelt werden, sowie die Lücke geschlossen werden kann. Ohne diese Erkennung und Beseitigung wird ein typischer Angreifer (oft automatisiert) immer wieder Erfolg haben.

Wie?
  • Webserver- und FTP-Serverlogs sichern.
  • Zeitstempel veränderter Dateien ermitteln. Leider ist es oft so, das der sichtbare Zeitstempel manipuliert wurde. Dateien werden so künstlich älter vorgetäuscht. Zu beachten gilt auch der Zeitstempel des übergeordneten Verzeichnisses. Dieses bleibt meist unverändert und zeigt dann den Zeitpunkt der tatsächlichen Veränderung.
    Hilfsmittel mit SSH: find * mtime -x / find * ctime -x / stat datei etc.
  • Web-Server-Logs und FTP-Server-Logs untersuchen einige Tipps
    Filtern nach POST / IPs / Dateinamen / Zugriffszeiten / typischen Angriffs-Strings und unter Beachtung fortlaufender Erkenntnisse.
  • PC beteiligter Personen mit Zugriff nach Trojanern untersuchen. Hierzu am besten eine Boot-CD nutzen.
  • Registrierte Benutzer und Rechtesystem des Scripts prüfen!
  • Nach typischen Mustern in den Dateien suchen (z.B. "base64", "iframe", "eval" etc.)
  • In den Exploid-Datenbanken nach passenden Exploids für die eigenen Scriptesuchen und die Zugriffsmerkmale in den Logs prüfen.
  • Nach Auffälligkeiten in den Logfile-Statistiken suchen.
  • Vergleich aller Dateien inkl. Inhalte mit Sicherungsdaten. Ein gutes Tool dafür ist WinMerge.
  • Scan aller Daten mit Hilfe guter Anti-Virenprogramme.

Die Untersuchung eines Hacks ist nicht trivial und erfordert eine gewisse Erfahrung! Wenn hier Unsicherheiten bestehen, sollte dieser elementar wichtige Schritt durch einen Profi erfolgen.

Seit geraumer Zeit ist das Ausspähen der FTP-Zugangsdaten in Mode gekommen. Auf dem lokalen PC eingenistete Trojaner lesen die Zugangsdaten mit. Oft in Verbindung mit dem FTP-Programm "Filezilla". Deshalb ist es sehr wichtig auch die FTP-Logs zu prüfen, um diesen Einbruch erkennen zu können.
Achtung: Sollte ein FTP-Hack vorliegen, sind alle anderen FTP-Zugänge, auf die der PC Zugriff hat, ebenfalls gefährdet oder bereits gehackt.

3) Daten löschen, saubere Sicherung laden, Passwörter ändern
Warum?

Angreifer hinterlassen fast immer Backdoor-Scripte, über die sie dann später jederzeit die Kontrolle über die Website bekommen ohne das es neue Sicherheitslücken geben muss. Dies sind oft sogenannte Shell-Scripte, die sich unter beliebigen Dateinamen in beliebigen Verzeichnissen befinden können. Diese zu finden ist sehr aufwendig! Deswegen sollten alle Dateien und alle Datenbankinhalte gelöscht werden und eine saubere Sicherung (zeitlich vor dem Angriff) zurückgespielt werden.

Wie?
  • Datein und Datenbanken löschen. Nicht nur die Dateien innerhalb des Homepage-Basisverzeichnisses, sondern den gesamten Webspaceaccount leeren.
  • Eine zeitlich vor dem ermittelten Hack-Zeitpunkt erzeugte Sicherung einspielen.
    Bei uns Dateien mit dem Dateimanager oder via Restore aus dem Control-Center.
  • Datenbankinhalt per phpMyAdmin leeren und Sicherungsdump importieren.
  • Datenbankuser ändern und die Scriptkonfiguration anpassen.
  • Im Verwaltungsbereich des Scriptes alle Benutzer prüfen und neue Passwörter vergeben.

An dieser Stelle scheitern leider viele User, weil keine passenden Backups existieren! Wir stehen auf dem Standpunkt das eine Bereinigung sämtlicher Dateien eines gehackten Webs ohne paassendes Backup nur in Ausnahmefällen möglich ist. Solche Webs haben oft zehntausende von Dateien und alle müssen inhaltlich geprüft werden. Wenn die Ergebnis der Analyse nicht wirklich absolut eindeutig sind, raten wir in so einem Fall zum Neuaufbau der Website.

4) Lücke schließen, Seite wieder freigeben
Warum?

Das Schließen/Entfernen der Lücke verhindert das ein Hack erneut Erfolg hat. Erfolgreich gehackte Seiten werden in der Szene verbreitet und immer wieder auch von neuen Angreifern besucht. Erst nach Schließung einer Sicherheitslücke darf eine Website wieder frei gegeben werden.

Wie?
  • Die in der Analyse ermittelten Sicherheitslücken schließen und alle Scripte updaten.
  • Öffentlichen Zugang zur Website wieder freigeben.
  • Nach der Freigabe die Aktivitäten auf der Seite genau beobachten (Logs prüfen, Statistiken beobachten, Änderungen von Dateien überwachen, ...).

Service für unsere Kunden

Wenn Sie ein Hack Ihrer Website bei uns feststellen, melden Sie sich sofort. Wir führen alle oben genannten Schritte für Sie durch! Wir haben zudem weit zurückreichende Sicherungen aller Kundendaten auf unseren Backupservern.

Wenn Sie Fragen haben, dann kontaktieren Sie uns.

© 2019 fc-hosting.de | +49-(0)5032-933-068-0 | info@fc-hosting.de

Quick-Links

Formulare

Tools

Tipps und Hilfen