Eine gehackte Website geht immer einher mit Umsatzverlust, Reputationsverlust, Störung der Arbeitsabläufe und nicht zuletzt dem Risiko, zur dauerhaften Zielscheibe für Hackangriffe zu werden (denn es hat ja schon einmal geklappt...).

Warum wird eine Website gehackt?
Jedenfalls sitzen da keine Script-Kiddies am Rechner und versuchen, eine x-beliebige Website zu hacken. Es sind viel mehr bekannte Sicherheitslücken im Code des CMS oder einer Erweiterung, Schwachstellen in der Datenbank oder ungenügend abgesicherte Server, die einen erfolgreichen Hack ermöglichen.
Einen Angriffsversuch auf Ihre Website erfolgreich abzuwehren kann mit einfachsten Regeln erfolgen:

  • Sicherheitsupdates unverzüglich einspielen
  • Die Website bei einem seriösen Provider hosten
  • Erweitertet Sicherheiteinstellungen für den Server durch entsprechende Einträge in der .htaccess-Datei vornehmen (incl SQL-Injection, XML, PHP verbieten usw.)
  • Die php.ini auf dem Live-Server anpassen
  • Den Upload von Dateien über http/https auf der Website vollständig unterbinden.
  • Schreibrechte so einstellen, dass die Webseite sauber läuft jedoch nicht installierbar oder beschreibbar ist.
  • Backup der Website mit dem "letzten bekannten sauberen Zustand" ablegen

Allerdings ist das "so eine Sache" mit dem Backup...:

Zumindest zwischen dem Bekanntwerden einer neuen Sicherheitslücke und dem Bereitstellen eines zu programmierenden Patches, der diese Sicherheitslücke schließt, hat jede Website ein offene Flanke, auch wenn diese nur wenige Tage anhalten sollte.

Es ist oft so, dass Websites mit Sicherheitslücken zunächst durch einen sogenannten „Loader“ infiziert werden, der erst nach Tagen oder auch nach Wochen (jedenfalls nach Bedarf) „geweckt“ wird und dann seinem einprogrammierten Dienst nachgeht (z.B. Spamschleuder, Teil eines Botnetzes um Schadcode zu verbreiten o.ä).
Viele Provider stellen zwar standardmäßig Backups zur Verfügung stellen, die allerdings selten älter als 7 Tage sind, oft auch nur 3 Tage oder sogar überhaupt nicht… Aus diesem Grund kann nach einem erfolgreichen Angriff zwar i.d.R. die Website aus dem Backup wieder hergestellt werden, dann allerdings wieder mit der „Schläferdatei“, die ja schon einige Wochen - auch im 7 Tage alten Backup - vorhanden ist und das Ganze geht wieder von vorne los.

Möglicher Ablauf einer Bereinigung:

Passiv-Einstellungen

  • Die php.ini auf dem Live-Server anpassen
  • Den Upload von Dateien über http/https auf die korrumpierte Website vollständig verbieten.
  • Das Backend mit einer .htaccess sichern (incl SQL-Injection, XML, PHP verbieten usw.)
  • Schreibrechte so einstellen, dass die Webseite sauber läuft jedoch nicht installierbar/schreibbar/bastelbar ist.

Aktiv-Überwachung

Mit Angriffen ist übrigens immer zu rechnen, ganz gleich wie diese aussehen.

  • Sobald Sicherheitslücken bekannt werden, reagieren Hacker darauf und passen ihre Bots daraufhin an.
  • Diese kurze Reaktionszeit in Bezug auf Updates sollte bei Ihrer Website ebenso zeitnah erfolgen.
  • Logging der Eingehenden Anfrage (POST/GET) um mögliche neue Einbruchsversuche festzustellen.
  • Permanente Überprüfung der Datei-Integrität auf Veränderungen.
  • Virus-Scanning

Wiederherstellbarkeit

  • Es sollten regelmäßig automatische Spiegel der Webseite erstellt werden. Je nach Change-Frequenz, diese auch stündlich spiegeln, damit sichergestellt ist, dass ein vorheriger Status jederzeit wieder hergestellt werden kann.
  • Eine möglicherweise gehackte Webseite sollte nicht mehr verändert werden. Diese sollte vom Netz genommen werden und die Spiegelseite als "letzter bekannter sauberer Status" eingespielt werden.
  • Man gewinnt dadurch Zeit, den Traffic auf der Liveseite ganz genau zu überwachen und gleichzeitig den Einbruch auf der gehackten Version nachzuvollziehen.
    Damit steigen die Chancen erheblich, dass eben genau gesagt werden kann, wie der Angriff ausgeführt wurde.
Rufen Sie uns an oder Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!. Wir melden uns umgehend bei Ihnen.

Bleiben Sie in Verbindung

m3websolutions, Hamburg

Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Telefon: +49 40 41 62 68 92

 

 

m3webSolutions