Es kommt immer wieder vor, dass auf einer Website von uns Schadsoftware gefunden oder gemeldet wird.
Die Besitzer der Websites sind meist überrascht – weil sie doch “seit Jahren” auf ihrer Website “nichts gemacht” haben. Und genau dort liegt meist auch das Problem. Websites sind Software und Software muss regelmäßig gewartet werden. Je komplexer die Software ist, desto mehr Wartung benötigt sie.
WordPress
WordPress ist ein gutes und auch positives Beispiel. WordPress ist ein sogenanntes CMS (Content Management System) – WordPress ist mittlerweile eine der weit verbreitetsten Software für den Betrieb von Internet Seiten. Da WordPress (und vor allem auch die vielen Plugins die dafür angeboten werden) extrem komplex ist, gibt es natürlich auch (wie beim PC und beim Smartphone) Sicherheitslücken die entdeckt werden. WordPress bietet hier seit Jahren einen Mechanismus an, bei dem WordPress automatisch auf den neuesten Stand gebracht wird. Plugins müssen händisch regelmäßig upgedatet werden. Der Mechanismus ist ein wenig mit Windowsupdate von Microsoft vergleichbar. Wichtig ist hier, dass man sich regelmäßig in seine Seite einloggt, und die geforderten Updates auch durchgeführt werden.
Andere CMS Systeme oder Software
Es gibt zahllose andere CMS Systeme oder Software für den Betrieb eigener Websites. Diese müssen meist händisch auf den neuesten Stand gebracht werden. Dieser Vorgang ist enorm wichtig, weil es eben Sicherheitslücken in diesen Systemen gibt. Sobald diese bekannt werden, werden sie auch von “den bösen Jungs” im Internet ausgenutzt um in die Seite einzudringen.
Wie kann jemand in die Seite eindringen, sind Eure Server nicht sicher?
Wenn eine Seite übernommen wird, wird vom Seitenbetreiber sofort angenommen, es könnte sich um ein Sicherheitsproblem unserer Server handeln. Wir können das natürlich nicht zu 100% ausschließen, aber wir halten die installierten Betriebssysteme auf aktuellem Stand. Wir haben Firewalls installiert, es ist Software zum erkennen von Schadsoftware installiert, etc. In den allermeisten Fällen ist das Sicherheitsproblem aber in der am Web Server installierten Software (diese ist nicht in unserem Einflussbereich) – und wir müssen uns darauf verlassen können, dass der Website Betreiber seine Web Software aktuelle hält.
FTP Passwort
Ein weiteres Einfallstor ist der FTP Server. Über den FTP (File Transfer Protokoll) Account hat jeder Webseitenbetreiber die Möglichkeit Dateien auf den Webserver zu spielen. Sollte das FTP Passwort verloren gehen, dann kann das natürlich auch von den Eindringlichen benutzt werden Software auf den Server zu spielen, die dort nicht hingehört.
Wichtig sind hier zwei Dinge:
- Verwenden Sie ein Passwort dass nicht sofort erraten werden kann
- Verwenden Sie gesichertes (verschlüsseltes) FTP
FTP überträgt wie alle anderen Internet Protokolle grundsätzlich alle Daten unverschlüsselt über das Netz (so auch Benutzerkennung und Passwort). Wenn jemand also auf der Leitung mithört (z.B. vor allem in öffentlichen Hotspots) dann kann derjenige auch das Kennwort mitlesen.
Ich habe doch nur eine statische Website?
Wenn Sie nur eine statische Website haben, dann ist es ganz wichtig die Programmfähigkeiten der Website abzuschalten (PHP, ASP.NET). Denn wenn keine Programme am Server ausgeführt werden können, dann kann auch keine Schadsoftware laufen.
In den meisten Fällen wird das aber nicht bedacht, und es ist oft alles aufgedreht.
Wie erkennt man Schadsoftware?
Schadsoftware erkennt man oft an Dateien am Webserver “dir dort nicht hingehören”. Oft haben die Daten obskure Namen und meist sind es .php Dateien. Können aber auch Java Applets sein. Wenn man bei der Wartung der Website solche Dateien sieht, dann sollte man diese näher untersuchen. Oft sind die Dateien auch am Änderungsdatum erkennbar.
Wenn man den Inhalt der Dateien ansieht, dann kann man meistens auch auf einen Blick erkennen, dass z.B. PHP Dateien “nicht ganz koscher” sind.
Was tun, wenn die Seite gehacked wurde?
Die einzig sichere Möglichkeit ist es den Inhalt der Seite komplett zu löschen und durch ein Backup zu ersetzen.
Wir werden in diesem Fall oft gefragt, ob wir das tun können. Nun das kommt darauf an, wie lange die Seite schon gehacked ist. Wir haben Sicherungen nur aus dem letzten Monat. Wenn die Seite unerkannt schon länger kompromittiert ist, dann sind es auch die Backups der Seite die wir haben. Es empfiehlt sich daher immer ein Backup selbst aufzuheben vom letzten Stand der Software die installiert wurde. Auch ist zu bedenken, dass die meisten Websites aus den Dateien / Programmen am Webserver besteht + aus der zugehörigen Datenbank. Es hilft daher nicht, wenn man eine Sicherungen der Dateien hat, aber die Datenbank nicht gesichert wurde, oder die beiden Versionen nicht zusammen passen. WordPress bietet hier ebenfalls Plugins an, die Sicherungen der WordPress Seite anlegt. Hier kann man auch sehr leicht konfigurieren welche Versionen wie lange aufgehoben werden (ähnlich einer Time Machine). Das sit oft auch sehr hilfreich für Probleme mit Plugin oder Themen Installationen.
Werner Illsinger
Letzte Artikel von Werner Illsinger (Alle anzeigen)
- Umstellung VoIP Telefonie - 9. Februar 2021
- panel.ccc.at auf SolicCP umgestellt - 27. Dezember 2020
- Upgrade Verrechnungssoftware auf WHMCS Version 8 - 14. Dezember 2020