Webdesign: Eigene Webseite – Was ist nach Hackerbesuch und Malwareinfizierung zu tun?

Für uns ist der Fall leider wieder aktueller denn je. Wir waren wieder eine Woche offline denn je.

 

Welche Seiten sind gefährdet?

Die Inhaber von statischen HTML-Seiten und die Verwender von Produkten vom Hoster, sowie Verwender von Hosterspezifischen Webseiten wie die 1&1 Do-It-Yourself Homepage oder Bloggingdienste wie blogspot.com  oder posterous.com sind tendenziell weniger gefährdet.

Letztere werden sowieso vom Anbieter oder Hoster geprüft und verwaltet.

Statische HTML-Seiten

Bei statischen Webseiten hat ein Hacker in der Regel weniger Angriffspunkte. Es ist natürlich möglich, dass ein HTML-Webdesigner z.B. ein JavaScript mit Schadcode übernimmt und durch eigenes Hochladen den Server infiziert, so dass sich Anwender beim Besuch der Seite was einfangen. Infizierungen auf diesem Wege legen aber nicht ganze Webseiten lahm.

Wenn der Server des Hosters im eigenen Uploadbereich kein PHP unterstützt und wirklich nur HTML-Seiten angezeigt werden können, fährt man damit am sichersten.  Unterstützt der Server PHP und andere Serverside Scripte, ist man theoretisch gefährdet, wenn man die erste PHP-Datei hochlädt.

Ein Hacker könnte hier lediglich versuchen, die FTP-Zugangsdaten oder den Login des Webspaceinhabers herauszufinden.

 

Serverside-Scriptsprachen und dynamisches Webdesign

Ist PHP im Spiel wird die Sache komplizierter. Gefährdet sind da neben JavaScript oder .JS Dateien die Dateien mit Endung .PHP und die im Verzeichnis liegende Steuerdatei .htaccess .

Warum sind PHP-Dateien .php gefährdet?

In PHP-Dateien wird nicht nur statischer Inhalt generiert, sondern auch dynamischer Inhalt.
PHP führt Programmcode am Server des Hosters aus! In einfachen Fällen können über PHP über ein Mailscript e-mails verschickt werden, wie z.B. ein e-mail-Formular. Eine PHP-Datei kann auch den Inhalt mehrerer anderer PHP-Dateien in sich einbetten. Der Seitenbesucher sieht von diesem Code nichts, wenn er sich den Quelltext anzeigen lässt. In komplizierteren Fällen läuft über PHP und eine angebundene MySQL-Datenbank ein Content-Management-System oder kurz CMS. Das können CMS wie WebsiteBaker oder Joomla sein, aber auch Blogs wie WordPress oder Foren wie phpBB. Durch Schlupflöcher können Hacker bzw. mittlerweile deren Bots – automatische Hilfsprogramme, die das für sie erledigen – eindringen und einzelne Dateien so modifizieren , dass sie entweder Zugriff auf weitere Dateien bekommen oder in ihnen Schadcode einbetten. Schadcode macht sich bemerkbar, indem sich z.B. ein Nutzer durch den Besuch der Webseite einen Virus einfangen kann – Im schlimmsten Fall geben dann viele Virenscanner Ihre Seite als gefährlich aus . Schadcode kann aber auch aus Ihrem Hosting-Bereich einen Spam-Server oder Botnetz-Server machen. Unter Umständen ist da bei der Gefährdung nicht bei der eigenen Webseite Schluß. Potenziell ist der ganze Server des Hosters gefährdet, mit allen Domains der anderen Kunden.

Neben den PHP-Dateien sind auch die htaccess-Dateien gefährdet. In Ihnen kann man z.B. angeben, dass alle  Dateien gelistet werden, welche Datei im Verzeichnis weitergeleitet wird, wenn das Verzeichnis oder die Domain aufgerufen wird.   Auch welche PHP Version läuft, kann hier angegeben werden. mod_rewrite Angaben können hier gemacht werden.
Dadurch kann dann das CMS auch als Linkstruktur eine Verzeichnisstruktur verwenden, obwohl diese Verzeichnisse in Wirklichkeit gar nicht vorhanden sind.

 

Warum sind frei verfügbare CMS mehr gefährdet?

Wie Sie sich vorstellen können, können nicht nur brave Leute wie Sie und ich diese frei verfügbaren Content-Management-Systeme runterladen, auch Hacker laden die Systeme herunter und lesen sich da Datei für Datei durch, ob man da irgendwie rein kommen könnte.

Joomla

Joomla soll nach letzteren Informationen, die wir unter anderem von 1&1 erhalten haben, doch etliche Sicherheitslücken enthalten. Aktualisieren Sie das CMS regelmäßig, holen Sie sich Infos über Sicherheitslücken, Sicherheits-Plugins und mögliche Risiken.

WebsiteBaker

WebsiteBaker verwenden wir selbst für Kunden-Websiten und für unsere eigenen Webseiten. Die Version 2.8.1 läuft am stabilsten. Lediglich im Backup-Modul liegen Sicherheitslücken vor – Letzteres kann man auch deinstallieren.
Von dem ursprünglichen WebsiteBaker haben sich nach dieser Version 2 CMS abgespalten, das fortgeführte WebsiteBaker und ein neues CMS namens Lepton.

Mehr zu WebsiteBaker finden Sie unter http://www.websitebaker2.org/de/home.php .
Für WebsiteBaker 2.8.2 wird das ServicePack1 empfohlen, um Sicherheitslücken zu stopfen!

 

WordPress

Das Blogsystem WordPress ist leider auch sehr anfällig. Beliebt ist das System aber  wegen seiner einschlagenden Fähigkeiten. So sind Feeds, Kurztexte von den normalen Texten, für die Artikel vorgesehen. Über www.twitterfeed.com kann man so die geblogten Beiträge gleich twittern und auf Facebook posten. WordPress kann auch selbständig mit anderen Blogs kommunizieren und sorgt so für eine gute Positionierung in den Suchmaschinen.

Besonders gefährdet sind bei WordPress  die Themes oder Templates. Das sind die auswechselbaren Komponeneten, die der Webseite das Gesamtaussehen geben.

Aber es gibt nicht nur Hacker, sondern auch viele gute Seelen, die sich mit der Sicherheit dieses Blogsystems mit Potential  beschäftigen .

Sehr hilfreich sind die Tools von Sergej Müller, wie WordPress AntiVirus oder Antispam Bee  zum Blockieren von Viren, Malware und Spam auf der eigenen Webseite. Diese beiden Plugins sollten auf jeden Fall installiert.

Auf der Seite www.elmastudio.de stellen Ellen und Manuel in Ihrem Blogartikel Tipps zur Sicherheit von WordPress  – http://www.elmastudio.de/wordpress/tipps-zur-sicherheit-von-wordpress/  etliche Möglichkeiten vor, das eigene WordPress sicherer zu machen, wie zum Beispiel durch Löschen des Standardbenutzers admin , Verwenden sicherer Passwörter, die Beschränkung der Login-Versuche durch Limit Lockin Attempts Plugin – http://wordpress.org/extend/plugins/limit-login-attempts/ , ständige Aktualisieren der WordPress-Versionen, Theme-Checks vor der Installation eines neuen Themes – http://wordpress.org/extend/plugins/tac/ http://wordpress.org/extend/plugins/theme-check/ . Gegen Malware unterstützen Sie neben WordPress AntiVirus auch Sicherheits-Plugins oder Security-Plugins wie Better WP Security – http://wordpress.org/extend/plugins/better-wp-security/ .  Für regelmäßige Backups können BackWPup-Plugin – http://wordpress.org/extend/plugins/backwpup/ und WordPress Backup to Dropbox Plugin  –  http://wordpress.org/extend/plugins/wordpress-backup-to-dropbox/weiterhelfen!  Sichere und von vielen Anwendern geteste Plugins, Themes erhalten Sie grundsätzlich auf  http://de.wordpress.org/ .

 

Warum ist meine Seite Offline?

Schadscripte können nicht nur Webseitenbesucher schädigen, sie können auch den befallenen Webspeicherplatz inkl. der darauf gehosteten Domains zum Spam-Server oder zum Botnetz-Server umfunktionieren. Außerdem ist hinter dem eigenen Hostingwebspace nicht zwangsläufig Schluß in schlimmen Fällen kann der komplette Server des Hosters mit allen darauf gehosteten Domains infiziert werden!  In einem Gespräch mit Florian Schießl, ehemaliger Hoster von www.ifs-net.de , erfuhren wir:  Der Hoster stellt die Webseite Offline um den Server und die darauf enthaltenen anderen Hosting-Pakete zu schützen!  Oft laufen da Scripte am Server, die nach ausgehenden Schadscript-Seiten und Schadcode scannen.

Bei 1&1 hat uns Herr Roos, ein sehr kompetenter Mitarbeiter im Telefon-Support zum Beispiel mitgeteilt, daß die Seiten automatisch wieder online gehen, wenn eine Datei mit Schadcode entfernt wurde.

Meine Webseite ist Offline.  Was muss ich tun?

1. Rufen Sie beim Hoster an und fragen Sie was los ist.

2. Im Fall eines Malware-Befalls laden Sie am besten Ihren kompletten per FTP verfügbaren Inhalt herunter und sichern Sie ihn. Wenn möglich sichern Sie auch die Datenbank(en) . Am besten Sie brennen Sie den auf eine DVD.

3. Schauen Sie alles am Hostingwebspace über FTP mal an. Abweichende Datumsangaben einzelner Dateien könnten auf einen Malware-Befall Hinweise geben. Notieren Sie sich Pfad und Namen dieser Dateien!

4. Ideal ist, wenn jede Domain und Subdomain ein Verzeichnis im Hauptverzeichnis hat. Löschen Sie die Inhalte der mit dem Webspace verknüpften Domain.

5. Fügen Sie erst mal eine einfache index.htm ein und schauen Sie was passiert.

6. Mit ein wenig Glück geht Ihre Seite automatisch wieder Online.

7. Sollte Ihre Seite nicht selbst Online gehen, verständigen Sie den Hoster, dass Sie den Schadcode beseitigt haben. So einen halben Tag sollte man u.U. da schon warten.

8. Installieren Sie die befallenen CMS nach Möglichkeit neu und verwenden Sie nur die Dateien des Backups, die unabdingbar notwendig sind!

9. Wenn Sie selbst generierte PHP-Dateien hochladen, überfliegen Sie diese vorher mit dem Texteditor, z.B. mit WordPad!  Schauen Sie sich insbesondere die vorher notierten Dateien mit ungewöhnlichem oder zuletzt geändertem Datum an.  Links, die Sie nicht kennen raus !! Base64 Codierungen können sogar Viren enthalten. Wenn Ihnen die suspekt sind, dann taggen Sie die erstmal mit “//” davor aus.

10. Laden Sie Ihre Dateien nach Prüfung hoch.
Die Bilder- und Upload-Verzeichnisse der WordPress, WebsiteBaker Installationen werden Sie benötigen. Ansehen, dann hochladen.

11. Sicherheitsplugins für die CMS installieren.

12. Backup von der neuen Konstellation anfertigen.

 

Armin Fischer
AFD-PC-SERVICE.de Armin Fischer

Armin Fischer
info@arminfischer.de
+4917621008967

 

Im Forum darüber diskutieren :
http://forum.afd-pc-service.de/viewtopic.php?f=25&t=2414

---

 

Fragen zu Computer, Hardware, Software, Windows und Linux, Kubuntu, DSL und Internet? Wir kümmern uns darum!

 

AFD-PC-SERVICE.de Armin Fischer 

Armin Fischer // AFD PC-SERVICE Armin Fischer // Armin Fischer Dienstleistungen

c/o Armin Fischer
Friedrich-Ebert-Str. 30
D-93051 Regensburg

Buero / Office / Home-Office / Sekretaeriat:
VoIP: +4994156955640 Mobil/ Multicall: +4915703549627
e-mail: office@afd-pc-service.de mitarbeiter.afdpcservice@googlemail.com

Armin Fischer :
Tel.: +499413966185 Mobil: +4917621008967 Mobil2/EU: +4915702057450
e-mail: info@arminfischer.de arminfischer.de@web.de arminfischer.de@googlemail.com

www.arminfischer.de www.afd-pc-service.de www.arminfischer.de/dienstleistungen/ 
Ust-ID: DE232723558

AFD-PC-SERVICE.de ist für Sie tätig:

Hauptgebiet:  Regensburg und Landkreis
Regensburg, Neutraubling, Obertraubling, Barbing,  Sarching, Alteglofsheim, Bad Abbach, Pentling, Pentling-Großberg, Sinzing, Alling, Viehhausen, Lappersdorf, Regendorf, Regenstauf, Wenzenbach, Irlbach, Grünthal, Tegernheim, Donaustauf, Bach an der Donau, Wörth an der Donau, und weitere im Landkreis.

Auf Absprache: Landshut, Amberg, Straubing, München, Nürnberg Fürth, Elangen, Bamberg, Memmelsdorf.

Hier sind wir öfter mal:  Erzgebirge 
Erzgebirge u.a. Lugau, Niederwürschnitz , Oelsnitz, Stollberg, Adorf, Gersdorf Hohndorf, Neukirchen, Annaberg-Buchholz, Schneeberg und natürlich Chemnitz .
* Fragen Sie wann wir dort sind, wenn das Problem nicht zu dringend ist und sparen Sie bei der Anfahrt, wenn wir Vor-Ort sind. Manches können wir auch über Helpdesk erledigen

 

diePCWerkstatt.de Marco Müller
Landshuter Str. 68
93053 Regensburg

Tel./ VoIP: +499417977227
Mobil: +491728227401
e-mail: info@diepcwerkstatt.de 

www.diepcwerkstatt.de

 Einzugsbereich: Regensburg und Landkreis 
* weitere Entfernungen auch sofern Abholen und Bringen durch Kunden erfolgt. Versand nur nach Absprache möglich. Kein Online-Shop!

 

Webdesign: Eigene Webseite – Was ist nach Hackerbesuch und Malwareinfizierung zu tun?