Die eigene Website schützen - Hacker, Malware & Co.

Wie man seine Website vor Hackerangriffen schützt und Contao Websites auf Angriffsversuche checkt. 

Das Internet ist ein großer Spielplatz für Cyberkriminelle und die Möglichkeiten auf kriminelle Weise schnell und an viel Geld zu kommen sind mannigfaltig. Demzufolge ist es nicht verwunderlich, dass die Anzahl an Hackern stündlich größer wird.

Begünstigt werden diese natürlich auch von Website Betreibern, die ihre Software ( bzw. ihr Content-Management-System ) nicht auf dem neusten Stand halten und somit Angreifern erst die Tür aufmachen. Viele Sicherheitslücken erschließen sich den Hackern erst nach einer Weile, aber sobald diese bekannt sind, beginnen flächendeckende Angriffe auf die entsprechenden Websites. Durch Beachtung gewisser Standards kann man seine Website schützen vor den größten Gefahren.

Wie gehen Website Hacker vor und was wollen sie erreichen?

Es gibt verschiedene Methoden eine fremde Website zu hacken und für sich zu nutzen. Ist also erst einmal ein Sicherheitsproblem entdeckt worden, suchen Robots nach Webseiten, die mit dem entsprechenden Tool erstellt wurden bzw. nach Webseiten, die die entsprechende Sicherheitslücke besitzen. Dabei hangeln sich die Hacker an umfangreichen Listen entlang, die Informationen zu Webseiten enthalten, welche als potentielle Angriffsziele in Frage kommen.
Wird eine Webseite gefunden, die die entsprechende Sicherheitslücke aufweist, gibt es für den Angreifer verschiedene Methoden sich der Seite zu bemächtigen.

1. Spam Injektion

Webseiten, die eine gute Platzierung in den Suchmaschinen erreicht haben, sind ein beliebtes Ziel für Spam Injektion. Hier suchen Hacker eine Sicherheitslücke in Ihrer Website und platzieren dann -  für den Besucher als auch für den Betreiber einer Website unsichtbare - Links in die Website, die auf z.B. den Shop des Hackers verweisen. Durch diese Links kann der Hacker die Reputation seines Shops und somit auch seine Zugriffszahlen erheblich steigern.
Diese Art des Angriffs ist für den Webseitenbetreiber erst einmal relativ harmlos, da sie die Seite nicht im Betrieb stören. Allerdings erkennt ein Bot wie Google die Spam Injektion natürlich und wird die Webseite entweder aus dem Suchindex löschen oder zumindest stark abwerten.

2. Malware

Die für einen Websitebetreiber sicherlich schlimmste Methode ist das Platzieren von Malware in der Website. Dadurch kann der Hacker Schadcode von der Website ggf. direkt auf den Computer eines Benutzers platzieren und ausführen. Wenn einem Hacker das gelingt, hat er ggf. Zugriff auf persönliche Daten, Passwörter, Bankverbindung u.s.w.
Sobald Google oder sogar die Browser selbst diese Art von Angriff erkennen - und dabei gilt zu bedenken, dass auch Hacker verstehen, ihre Angriffe immer besser zu verstecken - kann die Website von Google oder auch vom Browser gesperrt werden. Für uns als Webseitenbetreiber also sozusagen der GAU.

Was vor Angriffen auf unsere Website schützt

Die beste und wahrscheinlich auch einzige Methode ist es, den Angreifern immer einen Schritt voraus zu sein und es zu bleiben.

Das bedeutet, dass die Software - insbesondere das CMS - aber auch die darunter liegende PHP-Version und Serversoftware immer auf dem neusten Stand bleiben sollte. Für die Infrastruktur auf dem Server ist der Provider verantwortlich (es sei denn, wir betreiben einen eigenen Server). Wir sind in der Regel also darauf angewiesen, dass sich der Provider um die entsprechenden Updates kümmert. Für das CMS bzw. den Code der Website sind wir hingegen natürlich selbst verantwortlich oder übertragen die Verantwortung regelmäßiger und sicherheitsrelevanter Updates an eine Agentur wie uns, bzw. einen geeigneten Dienstleister.

Wie kann man seine Contao Website auf Infektionen überprüfen?

Der Contao Website Check

Um Contao auf eine Infektion zu prüfen, kann zum Beispiel das "Check Script" benutzt werden. Zu finden unter dem folgenden Link: github.com/contao/check 
Dieses vergleicht die auf dem Server liegende Contao Installation mit den originalen Dateien. Allerdings gilt dabei zu beachten, dass viele Contao Installationen ggf. leicht angepasst wurden. Also darauf achten, dass es nicht die eigenen Arbeiten sind, die hier einen Fehler auslösen.

Des weiteren kann man sich Tools zum Integritäts Check installieren. Für Contao liegt ein solches Modul direkt im Erweiterungskatalog, unter dem Stichwort: integrity_check, vor. Dieses Modul testet die von Contao relevanten Dateien auf eine Infektion und meldet diese im Falle einer Infektion via E-Mail an den Systemadministrator.

Für alle Websites gilt

Auf dem Webserver sollte ebenfalls von Zeit zu Zeit aufgeräumt werden. Scripte, die nicht mehr benötigt werden, sollten entfernt werden, damit die Dateistruktur auf dem Webserver übersichtlich bleibt. Denn die Kontrolle auf dem Server ist wichtig und nur wer regelmässig die Dateien auf seinem Server kontrolliert, kann eine Infektion frühzeitig erkennen.

Sehr wichtig ist auch die stetige Kontrolle von Server-Protokollen. Außergewöhnliche Anfragen und Protokolleinträge müssen untersucht werden. Nur so kann erkannt werden, ob ein Angriff erfolgte und ob er ggf. Erfolg hatte.

Den eigenen Rechner nicht aus den Augen verlieren!

Oftmals ist es nicht das CMS, das eine Sicherheitslücke aufweist, sondern der eigene Rechner über den Angreifer an FTP Passwörter gelangen - und so die gleichen Möglichkeiten auf dem Webserver erhalten, wie deren Besitzer selbst. Demzufolge ist es extrem wichtig einen Virenscanner einzusetzen, der den eigenen Rechner von Trojanern, Keyloggern und anderem Böswilligen frei hält. Auch hier gilt es natürlich, das Betriebssystem immer auf dem aktuellen Stand zu halten, damit eventuelle Sicherheitslücken schnell geschlossen werden können. 

Als weiterer Sicherheitshinweis sei zur Zeit auch noch der vorsichtige Umgang mit dem FTP Client Filezilla angeraten. Zum Zeitpunkt der Erstellung dieses Textes wies Filezilla erhebliche Sicherheitsprobleme auf.
Siehe: www.tipps-tricks-kniffe.de 

Was ist zu tun, wenn es dann doch passiert ist?

Um eine Installation wieder "sauber" zu bekommen, müssen alle kompromittierten Dateien wieder in den Originalzustand zurück versetzt werden. Alle Dateien, die nicht zum System gehören, müssen entfernt werden. Ist das System gesäubert, sollten auch alle Passwörter geändert werden (insbesondere die FTP Passwörter), damit ein Angreifer, der Zugriff auf zumindestens eines der Passwörter hatte, wieder ausgesperrt wird.

Im Allgemeinen sollte man nach einem Angriff die Beweise sichern, in dem man die kompromittierten Dateien sichert. Auch sollte man seinen Webhoster informieren, damit dieser ggf. Gegenmaßnahmen einrichten kann, um weitere Angriffe aus dieser Richtung zu unterbinden. Eventuell kann der Webhoster auch feststellen von wo der Angriff kam. Von Fall zu Fall kann es darüber hinaus auch durchaus sinnvoll sein, einen Angriff bei der Polizei anzuzeigen.