Weitere Artikel
IT-Tipp

Hilfe – meine Website wurde gehackt !

Sollten Sie eines Morgens einen Anruf Ihres Kunden erreichen, dass Ihre Website nicht mehr erreichbar ist, auf dubiose Webseiten verweist oder nicht mehr einwandfrei funktioniert, so muss es nicht daran liegen, dass Ihr Hosting-Unternehmen einen Fehler gemacht hat oder dass der Server in Ihrem Hause einfach nur neu gestartet werden muss. Vielleicht hat Sie ein Hacker erwischt!

In letzter Zeit nehmen die Vorwürfe – insbesondere gegen Hacker aus der Volksrepublik China zu. Den Chinesen wird häufig vorgeworfen – ob berechtigt oder nicht – dass Sie von der Regierung organisierte Wirtschaftsspionage betreiben – der Online-Krieg hätte demgemäß bereits längst begonnen. Lesen Sie den Erfahrungsbericht eines Bonner Unternehmens, dessen Website angegriffen wurde.

Kürzlich in Bonn…

Als ich morgens kurz nach 8 Uhr auf unsere Website ging, war diese nicht erreichbar. „Ups“ dachte ich, da hat unsere Hostingfirma wohl ein Problem mit dem Server. Als nach dem Anruf beim Support aber klar war, daß das Problem nicht technischer Herkunft war ging die große Fehlersuche los – aber der Reihe nach.

Den Hack bemerken/ Präventionsmaßnahmen

Wenn ein Problem mit der Website auffällt, sollte man zunächst einmal klären, ob der Fehler selbst oder – im Falle dessen, dass das Hosting outgesourced wurde – vom Hoster kommt. Falls dies nicht der Fall ist, sollte man sich eine Checkliste erstellen, die man im Fall der Fälle schnell durchgehen und abhaken kann. Wenn mit der eigenen Website nämlich Umsätze durch Online-Verkäufe erzeugt werden oder sensible Daten online Partnern und Kunden bereitgestellt werden, dann kann ein Hack „business critical“ sein.

Zum Glück war das bei uns nicht der Fall – unsere Website enthielt ausschliesslich öffentliche und unkritische Daten und über unsere Website machen wir auch keinerlei Umsätze. Präventivmaßnahmen wie das regelmäßige Überwachen von Seitenzugriffen und Traffic sind in solchen Fällen absolute Pflicht. Auch ein sensibler Umgang mit sicheren Passwörtern sollte Teil des IT-Sicherheitskonzepts für Ihre Website sein – denn wer will schon dass beispielsweise ein ehemaliger Mitarbeiter auf diesem Wege Rache nimmt... 

Lassen sich alle internen Fehlerquellen ausschließen und wenn vieles auf einen Hack von außen hindeutet, sollten Sie die Website unverzüglich vom Netz nehmen, um Schaden insbesondere für Dritte zu vermeiden.

Der Notfallplan

Als uns gegen 8:30 Uhr klar war, dass es sich um ein Hack handelte, bedienten wir uns der Checkliste, die wir für solche Fälle erstellt hatten:

  • Test, ob die Seite nur aus dem eigenen Netzwerk oder auch von außen nicht zu erreichen ist beziehungsweise fehlerhaft ist.
  • Ausschluss von Hostingproblemen beziehungsweise Problemen der Serververfügbarkeit durch eine (telefonische) Abstimmung mit dem Hosting-Verantwortlichen.
  • Prüfung des SSH/FTP-Servers um den Zeitpunkt der letzten Änderungen zu bestimmen.
  • Prüfung welche Dateien verändert wurden beziehungsweise ob neue Dateien hinzugefügt wurden.
  • Prüfung der Seitenzugriffe und Trafficzahlen sowie Analyse der Zugriffslogfiles.
  • Prüfung, ob redaktionelle Änderungen durch einen Mitarbeiter, beispielsweise die Änderung von Textbausteinen oder sonstigen Websiteelementen in einem Content Management System (CMS) die Fehlerursache war.

Wenn tatsächlich ein Hack vorliegt, sollten Sie eine temporäre Fehlermeldung auf der Website einspielen, in der Sie beispielsweise angeben, dass Ihre Website leider temporär aufgrund von Wartungsarbeiten nicht verfügbar ist. Hier reicht eine einfach Deaktivierung des CMS oft nicht – und auch das Austauschen der index-Datei wie zum Beispiel index.php bei einer mit PHP programmierten Website ist nicht hinreichend. Das hat sich auch in unserem Fall bestätigt, da sich die Ursache auf die .htaccess Datei im Root-Verzeichnis zurückführen ließ, welche bei jedem Seitenaufruf eine weitere Datei geladen hat. Möglich ist dies, da mit der .htaccess Datei der Apache-Server gesteuert werden kann.

Schadensbegrenzung und Fehlerbehebung

Nachdem Sie den Hack bemerkt haben, gilt es zunächst herauszufinden, welche Sicherheitslücke der Angreifer ausgenutzt hat. Dabei hilft eine Analyse des Logfiles, welche jeden Seitenaufruf gespeichert hat. Unabhängig davon, dass die Lücke gepatched werden sollte, muss vor dem Patchen der Lücke unbedingt das (regelmäßig erstellte) Backup einspielt werden. Falls das letzte Backup zu lange zurückliegt, müssen hier in den sauren Apfel beißen und Änderungen, die Sie seither erstellt haben nochmals durchführen – denn man kann nicht ausschließen, dass eventuell weitere Dateien oder Datenbankeinträge manipuliert wurden. Sie sollten dabei darauf achten, bereits vor dem Einspielen des Backups die Hauptzugangspasswörter geändert zu haben, damit ein möglicher Angreifer Ihnen nicht „dazwischenfunken“ kann. Zur Schließung der Sicherheitslücke empfiehlt sich einen Upgrade auf die aktuellste Version Ihres CMS – egal ob Adobe CQ5 (ehemals Day CQ5), Core Media, Tibco, Typo3 – durchzuführen. Gegebenenfalls funktionieren dadurch einige Inhalte nicht mehr, dies sollten Sie im Anschluss überprüfen. Um den Schaden schnell begrenzen zu können, ist ein Stand-By Support natürlich essenziell wichtig.

Bei aller Technik nicht die Kommunikation mit Mitarbeitern und Kunden vergessen!

Außerdem vergessen Sie in einem solchen Fall bitte nicht die Kommunikation zu Kunden und Mitarbeitern. Es ist nichts schlimmer, als wenn diese von dem Vorfall aus der Presse beziehungsweise aus Internetportalen erfahren.

Haben Sie keine Angst vor einem Imageschaden für Ihr Unternehmen, sondern gehen Sie den Vorfall proaktiv und offensiv mit Ihrer Kommunikation an. Außerdem helfen Sie anderen Unternehmen dabei, nicht auch noch demselben Hack zum Opfer zu fallen.

In unserem Fall konnten wir uns glücklich schätzen einen IT-Administrator als Stand-By Support zu haben, der durch seine fundierte Ausbildung in Sachen IT-Sicherheit an der Ruhr-Universität Bochum das Problem äußerst schnell und effizient eingrenzen und beheben konnte. Die Sicherheitslücke in unseren Systemen war allerdings an ganz anderer Stelle zu finden. Eine Setup-Datei ist nach der Installation vor Jahren in Vergessenheit geraten und nie gelöscht worden. Diese enthielt eine Cross-Site Scripting-Lücke (XSS), über die der Angreifer weitere Dateien nachladen und schreiben konnte. Eine Analyse des Hacks hat ergeben, dass es sich um einen weniger schwerwiegenden automatisierten Angriff handelte, der unseren Webserver so manipuliert hat, dass wer immer uns gegoogelt hat auf eine pseudo-Suchmaschine weitergeleitet wurde.

Simon Schoop ist Geschäftsführer der 4-advice GmbH | Change & Innovation Consulting und berät Kunden u.a. bei der Strategieerarbeitung und Umsetzung von technologischen Innovationen, wobei er auf weitreichende Erfahrungen aus Beratungsprojekten in der IT-Branche verweisen kann.

Ingo Düllmann ist IT Systemadministrator der 4-advice GmbH und studiert an der Universität Bochum den Masterstudiengang IT-Sicherheit/Informationstechnik.

(Simon Schoop/Ingo Düllmann)


 


 

Website
Hack
Datei
Problem
Angreifer
Fehler
Analyse
Sicherheitslücke

Passende Artikel suchen

Finden Sie weitere Artikel zum Thema "Website" - jetzt Suche starten:

Kommentar abgeben

Bei einer Antwort möchte ich per E-Mail benachrichtigt werden

 
 

 

Entdecken Sie business-on.de: