Webseite gehackt – was nun (Ratgeber)

©  Depositphotos /   stevanovic

© Depositphotos / stevanovic

Der Alptraum für jeden Webmaster oder Serveradministrator – ein Hacker im System. Manchmal bemerkt man es sehr schnell durch z.B. eine abgeänderte Startseite, in der Regel erfahren viele Betreiber davon aber erst durch Abuse Meldungen von verärgerten Fremdadministratoren das etwas nicht mit rechten Dingen vor sich geht. Sehr oft wird dabei der Betrieb der Seite zunächst nicht beeinflusst, unbemerkt werden vom eigenen Server/Webspace aber im Hintergrund dutzende Spammails verschickt oder automatisierte Brute Force oder DOS Attacken gefahren.

In einem solchen Fall hat man es sogar noch relativ leicht, schlimmer wird es wenn z.B. Kundendaten gestohlen werden oder Pishingwebseite auf dem eigenen Webserver abgelegt werden die zu einer Sperre durch Google führen (Warnmeldung und SEO Verlust). Bemerkt man verdächtige Aktivitäten ist das wichtigste:
Ruhe bewahren. Nichts ist schlimmer wie eine panische Reaktion, denn meist verliert man durch Schnellschüsse die Möglichkeit den Angriff zu rekonstruieren und kann damit die Lücke nicht mehr Schließen.

Was ist zu tun wenn ein Hackerangriff bemerkt wurde?

Diese Frage ist schwer zu beantworten, hängt sie doch von unzähligen Faktoren ab. Zunächst sollte man sich einen schnellen Überblick verschaffen und gleichzeitig ein Fullbackup des aktuellen Standes schaffen. Das Backup hilft später beim Vergleich mit dem letzten nicht infizierten Backup und ist ein wichtiges Instrument den Infektions-/ oder Einbruchsweg nachvollziehen zu können (hierzu später mehr). Ist das Backup gestartet geht es zunächst darum weiteren Schaden zu minimieren und auch hier gilt es wiederum clever vorzugehen. Taucht z.B. ein unbekannter Prozess auf ist die Versuchung groß ihn mit einem „kill“ abzuschiesen, jedoch nimmt man sich damit die Chance ihn zu analysieren und er kann jederzeit wider kommen. Besser ist es ihm zunächst die Angriffsmöglichkeiten zu nehmen. Was er genau tut weiß man in der Regel schon aus den eintrudelden Abusemeldungen, fährt er z.B. eine DOS Attacke gegen einen bestimmten Server blockt man dessen Remote IP, fährt er Bruteforce Attacken auf eine Liste von fremden Webservern ist es ratsam remote Port 80 zu Blocken, bei SSH Port 22 usw. Im Falle des Spamversandes hilft es Remote alle SMTP Ports zu blocken. Diese Methode hat den Vorteil das das Angriffsscript in der Regel nicht
bemerkt das es entdeckt wurde und davon ausgeht das der Remoteserver einfach die IP des gekaperten Servers geblockt hat. Für den Fall von installierten Phising Scripts auf dem Server empfielt es sich die Dateien zu überschreiben, aber nicht zu löschen. Oft prüfen Prozesse im Hintergrund ob die Dateien  noch vorhanden sind und erstellen sie ggf. neu.

Der Angriff wurde unterbunden – was nun?

Das wichtigste nachdem die aktiven Auswirkungen unterbunden wurden ist zunächst die Schadsoftware zu finden und danach den Infektionsweg zu erkunden. Einen guten Anhaltspunkt gibt der noch laufende Prozess, so kann man mittels „strace -p“ sehr gut sehen auf z.B. welche Dateien der Prozess zugreift und diese dann suchen. Ein noch wichtigster Anhaltspunkt sind bei bei einem Webserver mit vielen Webseiten sowie unterschiedlichen Nutzern der Prozesseigentümer. Nach und nach tastet man sich nun ran. Die häufigsten Einfalltore sind dabei ungepatchte Open Source Lösungen wie WordPress, Joomla oder auch nur ein Plugin wie z.B. WYSIWYG Editoren. Besonders interessant beim heran tasten sind die Erstellungszeitpunkte der Schadsoftwaredateien, so kann man hier das access.log des Webservers zu diesem Zeitpunkt genauer prüfen. Wer hier nichts findet schaut sich die Bugtracinglisten der verwendeten Software an und versucht von dieser Seite aus zu erkunden welche Lücke genutzt werden konnte.

Was tun wenn die Lücke gefunden wurde?

Wieder einmal kann man es nicht pauschal sagen, zunächst sollte man sofern vorhanden den noch laufenden Schadprozess killen und die Schaddateien löschen. Hierbei ist Vorsicht geboten, denn es könnte Fallbackscripts geben. Wenn möglich wäre ein Deaktiveren des Webservers sowie Kontrolle der Cronjobs ratsam.

Danach heißt es aufräumen. Wenn ein nicht betroffenes Backup verhanden ist und der Datenverlust kein Problem darstellt -> Backup einspielen und danach sofort die Lücke patchen (evt. manuell die fehlenden Daten aus dem Backup mit Schadsoftware auffüllen). Ist das Rückspielen des Backups keine Option wird nun das Backup des Standes der betroffenen Version wichtig, hier empfielt es sich alle Dateien die sich verändert haben miteinander
Abzugleichen um evt. versteckte Fallbackroutinen zu erkennen und zu beseitigen. Danach sollte das System sicher sein.

Und dann? Das Aufräumen nach dem Aufräumen.

Nachdem die Auswirkungen auf dem eigenen Server beseitigt wurden heißt es die externen Faktoren prüfen. Bei einen Spamangriff sind es in erster Linie die RBL Listen die geprüft und eine Austragung im Positivfall beantragt werden sollte. Bei Phising oder Drive-By-Download Veränderungen der Webseite sind es in erster Linie die Google Webmaster Tools, aber auch Warnportale wie WOT (World of Trust) die gecheckt und wenn nötig entsprechende Austragungen beantragt werden sollten.

Der Umgang mit Chefs oder Kunden in solch einer Situation:

Der vermutlich schlimmste Teil an der Sache ist der sich in der Regel ins unermessliche steigende Druck von Chefs oder Kunden in solch einer Situation. Diese wollen es in der Regel – sofort – bereinigt haben und vergreifen sich auch schnell mal im Ton. Jedem sollte klar sein, auch auf diesem
liegt unter Umständen ein gewaltiger Druck, kosten solche Ausfälle in der Regel viel Geld mit jeder Minute die vergeht. Versuchen Sie es sachlich kurz zu
erklären, machen Sie keine kurzfristigen Versprechungen wann es wieder geht und  sichern sie ihrem Gegenüber schon vom Anfang an eine detailierte
Fehleranalyse zu… machen sie ihm aber auch klar das sie in den nächsten Stunden absolute ruhe brauchen um das Problem schnellstmöglich lösen zu können.
Geben Sie alle 30-60min eine kurze Sachstandmeldung mit, diese muss für den Chef / Kunden nicht unbedingt verständlich sein, er will in der Situation nur
issen das etwas passiert. Bei einem penetrant agierenden Gegenüber machen sie sich unerreichbar (aktivieren eines Anrufbeantworters etc.). Wichtig ist das
sie sich auf die oben genannten Vorgehensweisen konzentrieren und sie gewissenhaft ausführen. Auch wichtig: kommen sie alleine nicht weiter holen Sie sich externe Hilfe von Fachpersonen die mit dem Problem vertraut sind. Auch wenn die Behebung mal einige hundert oder sogar tausende Euro kostet, ein Ausfall der noch schlimmer Vertrauensverlust kann deutlich teurer kommen. Im  Angestelltenverhältnis ist es bei der Einreichung der Fehleranalyse auch der richtige Zeitpunkt mit Ihrem Chef über mögliche Fortbildungen im Bereich IT Sicherheit zu  sprechen… kurz nach einem solchen Ereignis ist die Erleichterung meist groß und er dafür sicherlich offener.


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *