Aus aktuellem Anlass möchten wir darüber informieren, wieso gerade jetzt so viele Websites gehackt werden bzw. von Schadcode befallen sind, welche Schritte einzuleiten sind, wenn man davon betroffen ist, und wie man sich am besten vor Angriffen schützen kann.
Dieser Beitrag behandelt zum einen das Thema gehackte Websites im Allgemeinen. Zum anderen wollen wir Präventionsmaßnahmen und weitere Hilfestellungen vorstellen.
Unser Eindruck zur Notwendigkeit von Sicherheitsvorkehrungen
Unsere Erfahrung zeigt, dass es grundsätzlich schwer ist, gerade kleine Unternehmen oder Vereine von der Notwendigkeit von Sicherheitsmaßnahmen zu überzeugen. Der Irrglaube, dass die Website nur gehackt wird, wenn diese auch groß genug ist, das Unternehmen genügend sensible Daten bereitstellt oder der Bekanntheitsgrad des Unternehmens enorm hoch ist, scheint fest in den Köpfen der Website-Betreiber verankert zu sein. Das ist jedoch nicht zutreffend. Etwa jeder 3. Angriff trifft Websites, die kaum jemand kennt. Warum? Weil gerade diese Websites meist keiner regelmäßigen Wartung unterzogen werden und die Sicherheitslücken, die bereits jedem Angreifer bekannt sind, nie geschlossen werden.
Wieso gerade jetzt so viele Websites gehackt werden
Das beste Beispiel dafür ist der aktuelle Anstieg gehackter Websites mit dem CMS Joomla! Die Sicherheitsupdates 3.4.6 und 3.4.7 schließen eine wichtige Sicherheitslücke, die seit der Version 1.5 besteht. Das heißt, alle Versionen von 1.5 – 2.5 – 3.4.5 haben eine Lücke, die es Angreifern sehr einfach macht, in das System einzudringen. Jeder Website-Betreiber, der diese Lücke noch nicht geschlossen hat, ist potentiell gefährdet, dass seine Website gehackt wird. Seit die Sicherheitslücke publik gemacht wurde, ist auch ein enormer Anstieg gehackter Websites in diesem Bereich zu verzeichnen.
Hier erfährt man, wie man alte Joomla Versionen auf den aktuellen Stand bringt.
Warum sollte eine kleine Website gehackt werden?
Ein weiterer Irrglauben ist, dass die Angreifer es hauptsächlich auf sensible Kundendaten oder finanzielle Gewinne absehen. Natürlich sollten gerade solche Daten in besonderem Maße geschützt werden.
Allgemein lässt sich Folgendes festhalten:
- Wenn eine Website gehackt wird, dann passiert das meist mit automatischen Skripts. Das sind Programme, die Sicherheitslücken per Scans ausfindig machen und dann – einfach ausgedrückt – blind darauf losgehen, d.h. der Angreifer kennt den Betreiber nur in sehr seltenen Fällen.
- Wenn eine Website gehackt wird, dann nicht unbedingt, um gezielt an Daten zu gelangen, sondern meist, um sich den Server, auf dem die gehackte Website liegt, zunutze zu machen.
- Wenn eine Website gehackt wird, möchten die Angreifer, z.B. Spam-E-Mails über den betroffenen Mailserver versenden oder den Server zum Datenaustausch nutzen.
- Wenn eine Website gehackt wird, möchten die Angreifer vielleicht das gute Google Ranking ausnutzen, um die eigenen Websites publiker zu machen (z.B. durch versteckte Backlinks).
Woran merkt man, dass die Website gehackt wurde?
Wenn man einen guten Webhoster hat, wird dieser über das Monitoring schnell feststellen, dass die Website Opfer eines Hacker-Angriffs geworden ist. Der Betreiber der Website bemerkt es meist erst, wenn die Website bereits gesperrt wurde. Häufig sehen die Besucher dann die unschöne Aufschrift „Diese Präsenz ist momentan nicht verfügbar“ und erhalten eine E-Mail-Benachrichtigung vom Provider. Optimalerweise noch mit einer Liste der betroffenen Dateien.
Wenn nur ein Script oder Ähnliches eingeschleust wurde, bemerkt man dies oft an längeren Ladezeiten als gewöhnlich.
Kürzlich stießen wir per Zufall auf eine Website, die voller Viagra-Links war, und informierten den Website-Betreiber. Auch das wäre ein Weg - allerdings ein sehr unschöner - herauszufinden, dass die Website gehackt wurde.
Was ist zu tun, wenn die Website gehackt wurde?
Schritt 1 - Datensicherung
Auf jeden Fall sollte unverzüglich ein Komplettbackup der Website (inkl. Datenbank) erstellt werden, um später auch für eventuelle Schadensersatz- oder Versicherungsansprüche gewappnet zu sein.
Schritt 2 – Schadcode identifizieren
Wenn wir zunächst davon ausgehen, dass die Webseite bei einem kompetenten Webhoster liegt, wird er in diesem Fall kooperieren. Gute Provider bieten einen Scan der Server-Dateien an, um befallene Daten zu identifizieren. Letztlich sollte es im Interesse des Providers sein, dass auf dessen Server kein Schadcode kursiert.
Die Daten selbst zu identifizieren, gestaltet sich bei einer Joomla Website relativ schwierig.
Wenn man ein Backup lokal parat hat, eignet sich ggf. auch ein Anti-Viren-Programm des Betriebssystems, um befallene Daten zu identifizieren.
Schritt 3 – Schadcode entfernen
Sobald die befallenen Daten bekannt sind, sollten diese natürlich vom Schadcode befreit werden. Das behebt die Anzeigeproblematik/Ladezeitenschwierigkeiten usw. - also die Symptome.
Mit diesem Stand der Website kann man seinen Provider davon überzeugen, dass sich kein Schadcode mehr auf der Website befindet und dieser die Domain wieder freischalten kann.
Das sollte aber nicht überstürzt werden!
Damit die Website nicht erneut angegriffen wird, ist eine Reihe von Maßnahmen erforderlich:
Schritt 4 – Sicherheitslücke identifizieren
Der wohl schwierigste Part einer sauberen Virenbeseitigung bei einer gehackten Website ist es, den eigentlichen Einfallpunkt zu bestimmen. Über die Server-Log-Dateien kann ermittelt werden, welche Datei häufig aufgerufen wurde. Das wäre eine Möglichkeit, die Datei zu lokalisieren. Grundsätzlich gibt es viele verschiedene Möglichkeiten. Es gibt z.B. Sicherheitslücken im Kern des Programms, die man in Joomla als Joomla!-Core bezeichnet und die durch die Joomla-Versionsupdates behoben werden. Oder beispielsweise innerhalb einer Drittanbieter-Erweiterung; meist handelt es sich um Formular-Funktionen innerhalb der Website, welche die Daten, die dabei an den Server übermittelt werden, nicht ordentlich filtern. So wird es dem Angreifer ermöglicht, Programmiercode anstelle einer gewünschten E-Mail-Adresse im Formularfeld einzuschleusen. Hierbei wäre der Lösungsweg, die Filter (Validierung) auszubauen.
Schritt 5 – Sicherheit erhöhen
Eine einfache, effektive und empfehlenswerte Präventionsmaßnahme ist es, starke Passwörter festzulegen und diese regelmäßig zu ändern. Folgende Bereiche sollten durch starke Passwörter geschützt werden:
- FTP-Zugang
- Datenbank-Zugang
- Administrationsbereich
- Falls vorhanden: SSH-Zugang
Den Administrationsbereich kann man gesondert schützen:
- Zusätzlicher Schutz durch .htaccess Passwortschutz des Verzeichnisses/adminstrator
- Zwei-Faktor-Authentifizierung aktivieren
Die Website insgesamt besser schützen durch:
- SSL-Zertifikate
- .htaccess Direktaufrufsperren für .php und sonstige Dateien in den Unterverzeichnissen
- Verzeichnisrechte und Dateirechte auf dem FTP prüfen (z.B. configuration.php auf 444)
- Die 404-Seite sollte, wenn möglich, keine direkten Fehler ausgeben
- Das Joomla-Generator-Tag kann aus der Site entfernt werden, um den Angreifer auf diesem Wege nicht zu zeigen, dass es sich um Joomla handelt
- Entfernen jeglicher, nicht verwendeter Extensions
- Wenn möglich, Benutzerregistrierung verbieten (geht natürlich nur, wenn diese nicht benötigt wird)
- Php.ini Einstellungen
- Servermonitoring
Eine Liste aller möglichen Maßnahmen findet man auf der Website http://www.joomla-security.de
Fazit
Jede Website kann gehackt werden. Eine 100% Sicherheit gibt es nie. Man sollte nicht so fahrlässig sein und bereits bekannte Lücken einfach offen lassen. Ein Bestreben nach höchstmöglicher Sicherheit sollte im Interesse aller Website-Betreiber sein.
Wir freuen uns auf Feedback…