Was tun, wenn die eigene Website gehackt wurde?

Auf ganz verschiedene Art und Weise erfährt man, dass es offensichtlich einen Angriff auf die eigene Website gab: Möglicherweise fällt auf, dass die Seite an sich nicht mehr reagiert, ein weißes Startfenster zeigt oder es häufen sich Bounce-Mails, die Sie nicht zuordnen können. Diese Anzeichen sollte man durchaus Ernst nehmen und die Website überprüfen.

Wenn Hacker (genauer gesagt böswillige „Cracker“, die durchaus dem kriminellen Spektrum zuzuordnen sind) bereits aktiv sind, werden sie versuchen, Ihren übernommenen Account für Angriffe auf andere Seiten einzusetzen. Solange Ihr Account lediglich kompromittiert worden ist, aber noch nicht aktiv für Angriffe eingesetzt wird, fällt es schwer, dieses Eindringen überhaupt zu entdecken. Möglicherweise helfen Virenscanner.

Virusscanservice bei goneo

goneo setzt einen Crawler/Spider ein, der den Webspace aller Kunden regelmäßig auf schädliche Software untersucht. Der Crawler überprüft im Regelfall einmal pro Woche mit frisch geladenen Siganturen in einem rekursiven Prozess jede Datei in allen zugänglichen Verzeichnissen auf dem jeweiligen Webspace und meldet Funde über das Kundencenter an den Benutzer des Accounts. Dabei werden alle Dateien mit bekannten Signaturen, die aus einer Datenbank abgerufen werden, abgeglichen. Wann der Crawler die Seite besucht, lässt sich nicht vorhersagen. Der Dienst ist darauf ausgerichtet, Trojaner, Viren, Malware und andere Bedrohungen wie PUAs (Potenially Unwanted Applications) zu identifizieren.

Wichtig zu wissen: Diejenigen Dateien, die als bedrohlich eingestuft werden, werden nicht gelöscht oder in eine Quarantäne verschoben, da sonst der Webauftritt Schaden erleiden würde. Zudem arbeitet der Crawler auch mit heuristischen Erkennungsmethoden. Es liegt in der Natur der Sache, dass Falsch-Positiv-Funde auftreten können (Alpha-Fehler), dass also Dateien als schädlich eingestuft werden, die es in Wahrheit nicht sind. Umgekehrt können auch Beta-Fehler auftreten, dass also tatsächlich schädliche Dateien nicht gefunden werden. Über die Spezifität und die Sensitivität des Virenscanners lässt sich nur sagen, dass wir im Rahmen eines längeren Betatests zu der Überzeugung gekommen sind, diesen Scanner als Hinweisgeber für stattgefundene Angriffe produktiv einsetzen zu können. Wir sind ständig bestrebt, die Qualität der Ergebnisse zu erhöhen und bewerten die Ergebnisse kontinuierlich.

Onlinetools zur Überprüfung

Ein erster Ansatz wäre, die Domain bei http://urlvoid.com  zu überprüfen. Das Tool führt keinen Scan durch, sondern fragt eine Reihe von bekannten Securitysites ab, ob die Domain bereits auffällig geworden ist. Eine andere Möglichkeit ist das Angebot unter  http://www.avgthreatlabs.com. Dort können Sie sich auch anmelden, um die Inhaberschaft Ihrer Seite zu verifizieren. Sie erhalten dann Updates per E-Mail von AVG.

Wenn sich der Verdacht erhärtet, dass Ihre Site gehackt worden ist, sollten Sie Maßnahmen ergreifen.

Bitte bedenken Sie: Wenn Ihr Account missbraucht wird, um Angriffe oder auch Spam-Versendungen auszuführen, wird möglicherweise auch Ihre Domain in den Logfiles der angegriffenen Server sichtbar. Der Angriff lässt sich dann über die Whois-Einträge des Domainnamens auf Sie zurückverfolgen.

Unter Umständen merken Sie von dem Hackingangriff auch erst dann etwas, wenn beim Aufruf Ihrer Seite eine Warnung im Browser erscheint oder wenn andere User Sie darauf hinweisen, dass etwas nicht stimmt.

 Empfohlene erste Reaktionen, wenn Ihre Site gehackt wurde

Was Sie im Fall eines Missbrauchs Ihres Accounts tun können, ist, denjenigen zu informieren, der die Webseite verwaltet. Dies kann Ihr Webmaster sein, ein Mitarbeiter bei einer Agentur oder ein Freelancer.

Sollten Sie den Webauftritt selbst managen, empfehlen wir Ihnen folgendes Vorgehen:

  1. Verhindern Sie, dass Ihre Site weiterhin eine Bedrohung für andere darstellt. Dies können Sie dadurch erreichen, dass Sie:
    a) Die Domain der Website auf ein anderes Ziel leiten. Sie können – wenn Sie sich damit auskennen – den DNS Editor benutzenoderb) die .htaccess Datei im obersten Verzeichnis verändern bzw. eine neue .htacess Datei anlegen. Es empfiehlt sich dann, die bestehende Datei zu sichern.Die neue .htaccess Datei sollte folgende Direktiven enthalten:

    Order deny, allow
    Deny from all

Damit ist der Zugriff über HTTP blockiert, was aber jederzeit wieder durch Sie selbst veränderbar ist. Per FTP ist Zugriff auf die Seite möglich. Es reicht übrigens nicht, die robots.txt-Datei zu verändern.

Was passiert, wenn goneo vor Ihnen von einer Hacking-Attacke erfährt?

Möglicherweise haben wir von goneo schon vor Ihnen von der Kompromittierung Ihrer Website erfahren. In diesem Fall sperren wir die Site, um weiteren Schaden zu verhindern. Im Browser erscheint beim Aufruf der URL dann eine entsprechende Hinweisseite („Zur Zeit nicht verfügbar“).

Kontaktieren Sie in diesem Fall bitte unseren Kundendienst. Sie können die Site nicht mehr selbst wieder „aufschließen“. Sie haben aber weiter Zugriff per FTP auf den Webspace und können mit den Bestandsaufnahme- und Bereinigungsschritten anfangen.

Die nächsten Schritte

Als weitere, dringende Maßnahme empfehlen wir, alle Passwörter zu verändern, einschließlich den Datenbankpasswörtern, FTP-Zugangspasswörtern und anderen.

Der nächste Schritt wird wohl sein, die Bedrohung zu identifizieren, das Ausmaß des Schadens zu überblicken, um dann die Dateien zu bereinigen oder ein Backup einzuspielen.

Seien Sie bitte vorsichtig, wenn Sie Dateien aus dem Webspace per FTP auf die eigene Festplatte laden. Diese Dateien könnten möglicherweise auch schädlich für Ihren PC oder Ihr Notebook sein. Nutzen Sie ein Virenschutzprogramm.

Hack-Angriffe und Site-Kompromittierungen sind keine höchst unwahrscheinliche Bedrohung

Wichtig ist zu bemerken, dass solche Angriffe keine theoretische, höchst unwahrscheinliche Bedrohung sind. Wenn Sie beliebte CMS einsetzen oder auch andere Open-Source-Tools im Einsatz haben, ist es sogar wahrscheinlich, dass früher oder später eine Sicherheitslücke gefunden wird und diese dann eventuell ausgenutzt  werden kann. Es geht den Hackern meist nicht um ein eher sportlich-aufklärerisches Anliegen, sondern um den strategischen Aufbau von Serverressourcen.

Die übernommenen Accounts dienen dazu, gezielte und mit vielen anderen Servern gebündelte Angriffe auf andere Systeme auszuführen. So gesehen richtet sich der Angriff nicht gehen Sie persönlich oder gegen Ihre Website, sondern wird mehr oder weniger automatisch ohne viel menschliches Zutun ausgeführt, weil Sicherheitslücken durch veraltete Standardsoftware relativ leicht zu erschnüffeln sind.

Regeln, um dem vorzubeugen: Komponenten aktuell halten, Backups regelmäßig erstellen

Sie können der Schadwirkung der Angriffe entgegenwirken, indem Sie alle Komponenten auf einem aktuellen Stand halten. Wir wissen, Migrationen sind lästig, aber nicht zu vermeiden.

Außerdem unterstreicht dies die Notwendigkeit von Backups. Sichern Sie Ihre Datenbestände regelmäßig. Erstellen Sie regelmäßig ein Datenbank-Dump. Dies hilft Ihnen im Notfall im Falle eines Angriffs weiter.

Dieser Beitrag wurde unter Aus dem Support, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Kommentare zu Was tun, wenn die eigene Website gehackt wurde?

  1. Kyra Pfeifer sagt:

    Guten Tag,

    leider bin ich auch von dem o.g. Problem betroffen. Es handelte sich um eine kostenlose und werbefreie Seite mit Kindergeschichten für Leseanfänger.
    Wenn man das Wort „Kindergeschichten“ eingab, war die Seite bei google der zweite Treffer. Im Januar zählte piwik knapp 10000 eindeutige Besuche.
    Dann kam der Hackerangriff. Obwohl der Inhalt wieder hergestellt ist und eigentlich alles virenfrei sein müsste, fällt die Seite immer weiter im Ranking. Das finde ich sehr traurig. Was kann ich tun? Einfach abwarten und das beste hoffen? Oder habe ich etwas übersehen?

    LG
    Kyra Pfeifer

    • Wichtig wäre, auch in den Google Webmaster Tools nachzusehen, ob nicht noch Warnungen eingegangen sind. Vielleicht hilft es, über die Webmastertools eine neue Überprüfung zu beantragen.

      Zudem kann der Rankingabfall aber auch andere Gründe haben. Durch das Hacking alleine ist dies vermnutlich gar nicht erklärbar.

      Wenn das noch Joomla 1.5 ist, sollte man dringend an ein Update denken.
      Sichtbarkeit im zeitlichenen Verlauf der Domain

  2. tuhipoka sagt:

    eine gute methode schnell über unerwünschte aktivitäten auf dem ftp-server informiert zu werden ist das ftp-monitoring. dieses verhindert zwar keinen erfolgreichen angriff aber änderungen werden protokolliert und zeitnah mitgeteilt, siehe auch http://wamane.de/index.php/34-mittels-ftp-monitoring-koennen-sie-ihren-ftp-server-ueberwachen

  3. Peter Wiegand sagt:

    Danke für Artikel. Habe ihn über google gefunden. Mir ist das selbe passiert. Plötzlich war meine Webseite gehackt. Ich habe hier von einer Sicherheitsfirma ein Werkzeug gefunden das kostenlos ist und sicher dem einen oder anderem Helfen wird.

    Mit hat es geholfen.

    https://www.dotcomsecurity.de/wordpress-antihacking/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.