Fragen und Antworten

Mein Account wurde gehackt. Was nun?

Es kommt leider immer wieder vor, dass Webserver-Benutzeraccounts gehackt werden. Die Ziele eines solchen Angriffs können unterschiedlich sein:

• Am häufigsten werden Spam-Mails mit einer Absender-Domain des angegriffenen Accounts verschickt
• Häufig werden Webseiten manipuliert, um z.B. um Viren zu verbreiten, unerwünschte Werbung einzublenden oder Botschaften von Hackergruppen anzuzeigen
• Manchmal werden auch Angriffe (z.B. Denial-Of-Service, Brute-Force-Login) auf andere Server bzw. Webseiten ausgeführt

In vielen Fällen sind wir gezwungen, einen gehackten Account für den Web-Zugriff zu sperren, damit kein weiterer Schaden entstehen kann.

Für solche Angriffe gibt es in den meisten Fällen zwei mögliche Ursachen:

1. Die FTP-Zugangsdaten oder die Zugangsdaten zu einem Content-Management-System wurden ausgespäht. Dies kann zum Beispiel durch einen Trojaner geschehen, der sich auf dem Rechner des Nutzers befindet, und dort alle Passworteingaben abfängt bzw. die im Web-Browser gespeicherten Passwörter ausliest. Manchmal wurden auch derart einfache Passwörter gewählt, dass sie von jedem Angreifer mit wenigen Versuchen erraten werden können.


2. Eine Web-Anwendung enthält eine Sicherheitslücke, die ausgenutzt wurde, um Daten zu manipulieren. Meistens handelt es sich um vollständig automatisierte Massen-Hacks, die sich nicht speziell gegen eine betroffene Webseite richten: Zunächst wird eine bekannte Suchmaschine genutzt, um mittels besonders präziser Suchanfragen (sogenannte Google Dorks) von der Sicherheitslücke betroffene Webseiten zu ermitteln. Diese werden dann automatisch mit Schadcode infiziert, der später von Hackern ausgenutzt werden kann, um beispielsweise Spam zu versenden.
   Am häufigsten betroffen sind bekannte Content-Management-Systemen wie WordPress oder Joomla, da sich wegen der weiten Verbreitung dieser Software besonders viele Webseiten kompromittieren lassen. Problematisch ist auch die Erweiterbarkeit dieser Systeme: Es gibt hunderte Zusatzmodule, von denen jedes einzelne Sicherheitslücken enthalten kann. Nach unseren Erfahrungen sind Sicherheitslücken in WordPress-Plugins die häufigste Ursache für gehackte Accounts, Sie sollten daher nur solche Zusatzmodule installieren, die Sie auch wirklich benötigen, und sich regelmäßig über Updates und Sicherheitsprobleme informieren.

Damit diese Angriffe nicht zurückverfolgt werden können, werden sie häufig über infizierte PCs oder Server von Unbeteiligten ausgeführt, oder es werden Internetzugänge aus Ländern, in denen eine strafrechtliche Verfolgung aussichtslos ist, genutzt.

Falls ein Webserver-Benutzeraccount manipuliert wurde, gibt es zwei Lösungsmöglichkeiten:

1. Am sichersten ist die komplette Löschung des Webspace, da die Hacker meistens viele bestehende Dateien mit verstecktem Schadcode infizieren, der sich nur schwierig und mit hohem Aufwand finden und entfernen lässt. Über unsere Backup-Funktion können Sie danach alle Dateien von einem Zeitpunkt vor dem Angriff wiederherstellen. Falls der Account über eine Sicherheitslücke in einer Web-Anwendung gehackt wurde, sollten anschließend Updates für die betroffenen Anwendung installiert werden, um diese Sicherheitslücke zu schließen.


2. Sofern klar ersichtlich ist, welche Dateien manipuliert wurden, genügt es auch, nur diese Dateien zu löschen bzw. aus dem Backup zu ersetzen und anschließend eventuelle Sicherheitsupdates einzuspielen. Bei Accounts mit sehr vielen Dateien kann dabei jedoch leicht etwas übersehen werden.

In jedem Fall sollten nach einem erfolgreichen Angriff alle relevanten Passwörter geändert werden (z.B. FTP, MySQL, Administrator-Passwort des CMS bzw. Web-Shops), um auszuschließen, dass weitere Zugangsdaten ausgespäht und für spätere Angriffe verwendet werden könnten.

Links

• Wie spiele ich ein Backup auf dem Server ein?

---