Website gehackt – was tun?

Das Wort "Hacked" über das Bild eines Bildschirms gelegt

Website gehackt – was tun?

Bedrohungsszenarien im Internet

Keine Website ist zu 100% davor gefeit, nicht doch einmal gehackt oder mit Schadcode infiziert zu werden. Die Websites grosser, wichtiger und einflussreicher Unternehmen, Organisationen oder auch politischer Gruppierungen laufen in unterschiedlicher Weise Gefahr, Opfer gezielter Angriffe zu werden. Die jeweiligen Ziele unterscheiden sich dabei teils erheblich, und damit einhergehend auch die dafür genutzten Techniken. Soll eine Website “nur” kurze Zeit unerreichbar gemacht werden – um beispielsweise den Betreiber eines Onlineshops wirtschaftlich zu schädigen – reicht es oftmals, die Website mit einer grossen Anzahl gleichzeitig erfolgender Anfragen zu fluten und damit den Server in die Knie zu zwingen. Eine fremde Website komplett und ausschliesslich unter die eigene Kontrolle zu bringen, macht bereits wesentlich raffiniertere Angriffsmethoden nötig und erfordert eingehende Beschäftigung mit den auf der Zielwebsite genutzten Technologien. Solche Angriffe erfordern neben technischer Expertise vor allem Zeit und damit Geld – zumal viele potentielle Ziele sich der Gefahr bewusst sind und entsprechende Vorsorgemassnahmen treffen, um eine möglichst hohe Ausfallsicherheit zu gewährleisten. Ein lückenloses Monitoring sämtlicher Server, Datenbanken, Log-Files et cetera sorgt zudem dafür, potentielle Bedrohungen anhand ungewöhnlicher Aktivitäten schnell erkennen und präventive Massnahmen ergreifen zu können.

Ein solches Katz-und-Maus-Spiel ist für die Big Player im Internet längst Alltag. Die Betreiber kleinerer Firmenwebsites und Onlineshops sind vor solchen Gefahren keineswegs geschützt. Da der potentielle ‘Ertrag’ aber im Verhältnis stehen muss zum betriebenen Aufwand, lohnt sich der gezielte Angriff auf kleinere Shops oder reine Repräsentationssites in der Regel für kaum einen Angreifer. Daraus abzuleiten, dass für diese Art von Websites deshalb keine Bedrohung besteht und keine besonderen Schutzmassnahmen getroffen werden müssten, wäre allerdings grundfalsch. Denn die Abermillionen von Websites dieser Kategorie sind nicht aufgrund ihrer Inhalte oder Betreiber attraktive Angriffsziele, sondern schlicht aufgrund der Tatsache, dass sie auf Servern liegen und von unzähligen Besuchern aufgesucht werden. Wenn diese dann noch unzureichend aktualisiert und geschützt sind, bieten sie sich geradezu an, etwa durch Infizierung mit Schadsoftware in ein Botnet eingebunden zu werden. Diese Botnets bestehen aus einer Vielzahl an infizierten Rechnern, die sich dann fremdgesteuert zu verschiedensten Dingen nutzen lassen, sei es massenhafter Spam-Versand oder auch der (DDoS-)Angriff auf Websites mit dem Ziel, diese zu überlasten und damit lahmzulegen (siehe oben).

Wie erfolgen solche Angriffe?

Die Art und Weise, wie eine Webapplikation ‘angegriffen’ bzw. infiziert wird, ist sehr unterschiedlich. Die Einfallstore für Schadsoftware sind leicht zu erratende oder zumindest unschwer zu knackende Passwörter von Benutzern, der Datenbank o.ä., aber auch wesentliche komplexere Attacken – genannt seien die oft gehörten SQL-Injections, Cross-Site-Scripting et cetera. (Die “OWASP Top 10” des Open Web Application Security Projects zeigen die grössten Bedrohungen bzw. Angriffsszenarien auf Webapplikationen).

Um ins Visier solcher Aktionen zu geraten, spielt weder die Domain noch der Betreiber oder der jeweilige Inhalt der Website eine Rolle, sondern lediglich die genutzte Technologie. So werden WordPress-Websites immer wieder zu Hunderttausenden auf gewisse Sicherheitslücken hin untersucht und im ‘Erfolgsfall’ infiziert und/oder in ein Botnet eingebunden. Gleiches erfolgt dann beispielsweise für TYPO3-, Drupal-, Joomla-Websites oder solche, die auf anderen CMS basieren und die jeweils spezifische Sicherheitslücken aufweisen können. Allerdings ist solches “Scannen” auf verwundbare Installationen und Websites nicht auf bestimmte CMS beschränkt – je nach auszunutzender Sicherheitslücke ist auch die Benutzung einer bestimmten Datenbanktechnologie, die auf dem Server laufende Software oder das Vorhandensein bestimmter Skripte für Angreifer relevant.

Kurz: Die eigene Website zu schützen und möglichst gut abzusichern ist auch dann vonnöten, wenn es dort vermeintlich “nichts zu holen” gibt – für Botnets ist der Seiteninhalt irrelevant, solange sie als willkommenes Einfallstor zum Server dient.

Wie kann man sich schützen?

Indikatoren Website Blacklist Status, Website Malware und Sicherheit

Eine der wichtigsten Schutzmassnahmen ist so simpel wie bestechend: CMS, Plugins, Extensions, Themes usw. sollten möglichst immer auf dem neuesten Stand gehalten werden, da via Updates immer wieder neu bekannt gewordene Sicherheitslücken geschlossen werden. Je mehr zur Verfügung gestellte Updates ignoriert werden, desto grösser wird die Gefahr, dass eine – immer länger bestehende – Sicherheitslücke auch ausgenutzt wird. Weitere Sicherheitsempfehlungen sind meist abhängig vom verwendeten CMS, wie auch unterschiedliche Plugins zur Erhöhung der Sicherheit zur Verfügung stehen.

Website gehackt – wie reagieren?

An dieser Stelle wollen wir jedoch nicht auf vorbeugende Massnahmen zur Gefahrenabwehr eingehen. (Wenn Sie hierzu Fragen haben, können Sie natürlich jederzeit mit uns in Verbindung treten.) Stattdessen wollen wir an einem aktuellen Beispiel aufzeigen, welche Schritte nötig sind, wenn der Ernstfall bereits eingetreten und Ihre Website kompromittiert ist. Der Betreiber einer kleinen Firmenwebsite nahm Kontakt mit uns auf, da die WordPress-Website “gehackt” worden sei. Konkret äusserte sich dies darin, dass die Seite nicht korrekt geladen oder aber lediglich eine Sicherheitswarnung angezeigt wurde von lokal installierter Sicherheitssoftware, die verdächtige Aktivitäten registrierte und den Zugriff auf die Seite sperrte.

Folgende, nicht sämtlich im Detail zu beschreibende Analysen haben wir daraufhin vorgenommen und daraufhin entsprechende Massnahmen getroffen, um die Seite zu bereinigen, wieder online zu bringen und für die Zukunft besser abzusichern.

Zunächst haben wir mit dem uns zur Verfügung gestellten Zugang ein komplettes Backup des Datenbestands sowie der Datenbank erstellt und diese isoliert gespeicherten Dateien analysiert. Dabei schlug bereits ein Malware-Scanner Alarm, der einige verdächtige Javascript-Dateien ausgemacht hatte. Der anschliessende Komplettscan der WordPress-Installation mit einem neu installierten und konfigurierten Security-Plugin bestätigte diesen ersten Befund, machte aber zugleich das gesamte Ausmass des Schadens deutlich: Infizierte, d.h. mit Schadcode versehene (PHP-, JS-, CSS- und andere) Dateien fanden sich in zahlreichen Plugins und vor allem auch dem genutzten Theme – sowie in anderen installierten, aber nicht aktivierten Themes. Eine weitere Analyse zeigte zudem auf sämtlichen Seiten und Beiträgen eingefügten Schadcode. Die Untersuchung der Datenbank auf entsprechende Strings ergab rund 650 Fundstellen.

Wie bereinigen?

Die Bereinigung erfolgte deshalb in mehreren Schritten: Zuerst wurden die Plugins komplett gelöscht und schrittweise neu installiert. Ebenso wurde mit den ungenutzten Themes verfahren. Mit dem aktiven Theme konnte unglücklicherweise nicht auf diese Weise verfahren werden, da kein Child-Theme zum Einsatz kam. Deshalb entschieden wir uns für einen anderen Weg: Die gleiche Version des Themes wurde erneut heruntergeladen und ein neuerlicher, detaillierter Scan des Theme-Verzeichnisses auf dem Server durchgeführt. Manuell wurden dann sämtliche infizierten Dateien mit den ‘unberührten’ Versionen aus dem neuen Download ersetzt.

Die nach jedem Schritt erzeugten Komplettscans zeigten ab diesem Zeitpunkt keine Probleme auf Dateiebene mehr an – dennoch bestanden nachdrückliche Warnungen vor der Website, da sich Schadcode noch auf sämtlichen Inhaltsseiten befand. Konkret wurde – vormals auch bei neu erstellten Seiten – ein externes Script aufgerufen, welches Schadsoftware nachladen und dem User unterzujubeln versuchen sollte. Auf der kompletten Seite wurde hierfür auf Scripts aus zwei verschiedenen Quellen verlinkt. Diese konnten über SQL-Abfragen in der Datenbank ausfindig gemacht und ersetzt bzw. entfernt werden. Hiernach war die komplette Website wieder frei von Schadcode; interne wie auch externe Sicherheitsscans gaben grünes Licht.

Ein paar weitere Maßnahmen galt es dennoch zu treffen: Es galt sicherzustellen, dass sich sämtliche Instanzen (WP-Core, Plugins, Themes) auf dem aktuellsten Stand befanden, zudem wurden sämtliche Passwörter neu gesetzt. Die Web Application Firewall und das Security Plugin wurden restriktiv konfiguriert, beispielsweise muss jedes Hinzufügen von Scripts doppelt bestätigt werden. Ausserdem wird hierüber der Administrator per E-Mail benachrichtigt – wie auch über das Ergebnis des von nun an regelmässig automatisiert stattfindenden Komplettscans der Website, über zur Verfügung stehende Updates sowie über potenziell bedrohliche Veränderungen der Website.

Auf diese Weise konnte die Website innerhalb von knapp vier Stunden bereinigt und wieder online verfügbar gemacht werden. Ist diese nun zwar erheblich besser abgesichert als zuvor, besteht dennoch kein hundertprozentiger Schutz vor ähnlichen Bedrohungen. Um in Zukunft unliebsame Überraschungen dieser Art nach Möglichkeit zu vermeiden, müssen weiterhin regelmässige Überprüfungen stattfinden, Backups erstellt und Updates eingespielt werden.

Unsere Leistungen

Sollten Sie ähnliche Probleme mit Ihrer Onlinepräsenz haben oder diesen vorbeugen wollen, nehmen Sie Kontakt mit uns auf. Im Ernstfall können wir uns schnell ein Bild der Problematik machen und die weiteren Schritte mit Ihnen besprechen und in die Wege leiten. Im Rahmen unserer unterschiedlichen Wartungsverträge bieten wir zudem die Möglichkeit an, dass wir uns um die regelmässige Sicherung Ihrer (WordPress-) Website kümmern und diese auf dem aktuellen Stand halten.