Vorab: eine gehackte Website ist nicht so selten wie Sie denken und die Angreifer haben es meist nicht direkt auf Sie abgesehen, sondern ein Bot hat Ihre Seite ausspioniert und eine Sicherheitslücke gefunden. In den allermeisten Fällen handelt es sich dabei um nicht aktualisierte Systeme oder Erweiterungen!
Es gilt jetzt die Ruhe zu bewahren und schnell zu handeln!
Eine gehackte oder auch kompromittierte Website ist eine potentielle Gefahr für den Domainbesitzer, aber auch für unbeteiligte Dritte. Daher ist es wichtig, schnell und effektiv zu reagieren! Die genannte Vorgehensweise gilt für alle Arten von Webseiten und kann daher auf alle CMS-Systeme umgelegt werden.
Wir erklären zur besseren Veranschaulichung anhand eines gehackten Joomla CMS.
Da man auf den ersten Blick nicht erkennen kann, was ein Angreifer an einer Website kompromitiert hat, muss man, auch zu seiner eigenen Sicherheit, die Website sofort vom Netz nehmen. Ein Angreifer könnte die Seite für Phishing, Spam-Mails, DDoS-Attacken, Botnetze usw. ausnutzen - das kann für den Seitenbetreiber auch rechtliche Konsequenzen nach sich ziehen. Daher muss man sofort reagieren und Schadensbegrenzen betreiben.
Ein Domaineigentümer und Seitenbetreiber kann für Schäden die durch seine Website anderen entstehen, haftbar gemacht werden. Daher: Seite vom Netz nehmen!
Ist die Seite vom Netz, sollte man sich an die Analyse der gehackten Seite machen. Hier gibt es zwei Möglichkeiten: die Webseite auf dem Server im jetzt geschützten Verzeichnis analysieren oder aber eine lokale Kopie seiner Seite erstellen. Aber vorsicht: alles was man an Schadcode auf dem Webspace hat, kopiert man sich natürlich auch auf seinen eigenen Rechner. Daher ist es unerlässlich, dass auf dem eignen Rechner ein umfassender Schutz (z.B. Internet Security, Malwarescanner etc.) installiert ist. Die Methode des lokalen Speicherns birgt auch die Gefahr, dass man sich die Möglichkeit der Timestamp Suche nimmt, was eine Analyse der Seite erschweren kann.
Erste Massnahmen in der Übersicht:
Bevor man ein Backup seiner Seite wiederherstellt, muss die Sicherheitslücke gefunden und geschlossen werden. Andernfalls sind alle Massnahmen sinnlos, da ein Angreifer die Seite über die gleiche Lücke in kürzester Zeit wieder kompromitieren wird.
Analyse des Einbruchs:
Häufig nimmt die Analyse der kompromitierten Website mehr Zeit in Anspruch, als die Beseitigung des Hacks an sich. Allerdings ist das Erkennen der Sicherheitslücken und das Muster der geänderten Dateien elementär. Hier darf nichts übersehen werden, ansonsten ist die ganze Arbeit umsonst und die Seite wird erneut gehackt. Im Zweifel sollte man für die Analyse immer einen Profi zu Rate ziehen.
* Hinweis: sollten Sie keinen direkten Zugriff auf die Webserverlogs haben, fordern Sie diese bei Ihrem Hoster an.
Bei einer gehackten Seite werden durch den Angreifer häufig Backdoor-Scripte in den Account geladen, über die zu einem späteren Zeitpunkt jederzeit wieder die Kontrolle über die Website übernommen werden kann, ohne das es eine neue Sicherheitslücke geben muss. Diese Scripte sind oft Shell-Skripte, die sich getarnt mit beliebigen Dateinamen in beliebigen Verzeichnissen befinden können. Diese Skripte zu erkennen und vollständig zu löschen ist eine sehr zeitintensive Arbeit. Deshalb sollten alle Dateien sowie alle Verzeichnisse komplett gelöscht werden und ein sauberes Backup (das sich selbstverständlich vor dem Angriffszeitpunkt befinden muss) eingespielt werden.
Damit ein Angreifer keinen Zugriff mehr auf den Account bekommt, sollten nach dem löschen sämtliche Passwörter und Zugangsdaten zum Account neu vergeben werden. Denken Sie dabei bitte an die Sicherheit des neuen Passwortes. Das Passwort sollte dabei keinem Muster entsprechen und auch einem Brute-Force-Angriff stand halten können. Mehr Informationen zu sicheren Passwörtern finden Sie in unserem Beitrag Sicheres Passwort.
Betroffene Passwörter sind:
Wichtig: Bitte ändern Sie die Passwörter vor dem Wiederherstellen des Backups!
Weiteres Vorgehen:
In unserem Agenturalltag erleben wir es leider sehr häufig, dass keine oder nur unzureichende Backups zur Verfügung stehen. Auch in diesem Fall ist noch nicht alles verloren. Es gibt verschiedene Möglichkeiten, eine Seite wiederherzustellen die wir im nächsten Punkt aufzeigen möchten.
Ist die Sicherheitslücke identifiziert gibt es mehrere Möglichkeiten die Webseite wiederherzustellen:
Möglichkeit 1
Bei einem relativ einfachen Hack, bei dem nur eine Sicherheitslücke ausgenutzt wurde, keine Dateien verändert oder hinzugefügt wurden (Backdoor), genügt es, die Sicherheitslücke zu schliessen (z.B. durch Updates). Die Updates sollte man allerdings zur Sicherheit in einem nicht infiziertem Backup, das man sich lokal installiert, einspielen und somit das Risiko einer erneuten Infektion minimieren.
Möglichkeit 2
Bei einem sehr aufwändigem Hack bei dem mehrere Dateien geändert und zusätzlich Dateien ins System eingeschleusst wurden, raten wir zur Neuaufsetzung des Systems. Man installiert sich einen neuen Klon der Webseite mit allen Erweiterungen und erhält somit ein sauberes System. Im Anschluss spielt man die Datenbank in die saubere Installation ein und passt die Datenbank dem neuen System an. Diese Vorgehensweise erfordert ein grosses Mass an Erfahrung und sollte daher nicht von Laien vorgenommen werden. Mit dieser Art der Beseitigung von Sicherheitslücken kann man nahezu jede Internetseite wieder herstellen. Daher eignet sich diese Massnahme gerade für grosse Seiten, deren Neuerstellung sehr Zeitintensiv wäre.
Möglichkeit 3
Kompletter Neuaufbau der Webseite - wenn es sich um kleinere Seiten mit überschaubarem Inhalt handelt, sollte man sich Gedanken darüber machen, ob ein kompletter Neuaufbau der Seite mit manueller Übertragung von Inhalten nicht die bessere und somit günstigere Variante wäre. Man erstellt die Seite von Grund auf neu und schliesst somit aus, dass Schadcode oder eine Backdoor übersehen wurde.
Egal für welche Variante man sich entscheidet: es ist essentiell wichtig, dass man alle Sicherheitslücken indentifiziert und geschlossen hat, bevor man eine Seite wieder ins Netz stellt. Man verringert somit nicht nur die Möglichkeit erneut gehackt zu werden, sondern man schliesst auch den Missbrauch des Servers durch Dritte aus.
Spätestens nach einem Hack und der daraus resultierenden Erfahrung, sollte man sich mit dem Internet Sicherheit beschäftigen. Man wird damit keine 100%ige Sicherheit seiner Webseite erreichen können (weil es diese gar nicht geben kann) aber man kann es Angreifern schwer machen ein System zu kompromitieren. Gerade Scriptkiddies kann man mit gängigen Methoden den Zugriff auf seine Seiten verwären.
Wenn Sie mehr erfahren möchten wie man eine Website absichert oder Sie brauchen Hilfe bei einem Hack, kontaktieren Sie uns!
Wenn Sie auf der Suche nach individuellen Lösungen sind oder etwas Einzigartiges wünschen, finden wir immer eine Lösung, die Ihren Vorstellungen und Wünschen entspricht.
webart-IT UG (haftungsbeschränkt)
Öffnungszeiten:
Montag-Freitag:
8:30 Uhr -16:30 Uhr
Telefonische Erreichbarkeit:
Regulär während unserer Öffnungszeiten. Ausserhalb dieses Zeitfensters stehen wir Ihnen jederzeit via E-Mail zur Verfügung.
This website was proudly built with , lots of , HTML5 and CSS3.
Copyright © 2022 webart-IT UG (haftungsbeschränkt).
Alle Rechte vorbehalten.