Zum Hauptinhalt springen
Gehackt! Was muss man tun?

Hilfe bei gehackter Website

Wir bieten Ihnen schnelle und professionelle Hilfe im Fall der Fälle!

Vorab: eine gehackte Website ist nicht so selten wie Sie denken und die Angreifer haben es meist nicht direkt auf Sie abgesehen, sondern ein Bot hat Ihre Seite ausspioniert und eine Sicherheitslücke gefunden. In den allermeisten Fällen handelt es sich dabei um nicht aktualisierte Systeme oder Erweiterungen!
Es gilt jetzt die Ruhe zu bewahren und schnell zu handeln!
Eine gehackte oder auch kompromittierte Website ist eine potentielle Gefahr für den Domainbesitzer, aber auch für unbeteiligte Dritte. Daher ist es wichtig, schnell und effektiv zu reagieren! Die genannte Vorgehensweise gilt für alle Arten von Webseiten und kann daher auf alle CMS-Systeme umgelegt werden.
Wir erklären zur besseren Veranschaulichung anhand eines gehackten Joomla CMS.

Joomla oder Wordpress gehackt - was ist zu tun?

1. Website vom Netz nehmen

Da man auf den ersten Blick nicht erkennen kann, was ein Angreifer an einer Website kompromitiert hat, muss man, auch zu seiner eigenen Sicherheit, die Website sofort vom Netz nehmen. Ein Angreifer könnte die Seite für Phishing, Spam-Mails, DDoS-Attacken, Botnetze usw. ausnutzen - das kann für den Seitenbetreiber auch rechtliche Konsequenzen nach sich ziehen. Daher muss man sofort reagieren und Schadensbegrenzen betreiben.

Ein Domaineigentümer und Seitenbetreiber kann für Schäden die durch seine Website anderen entstehen, haftbar gemacht werden. Daher: Seite vom Netz nehmen!

Ist die Seite vom Netz, sollte man sich an die Analyse der gehackten Seite machen. Hier gibt es zwei Möglichkeiten: die Webseite auf dem Server im jetzt geschützten Verzeichnis analysieren oder aber eine lokale Kopie seiner Seite erstellen. Aber vorsicht: alles was man an Schadcode auf dem Webspace hat, kopiert man sich natürlich auch auf seinen eigenen Rechner. Daher ist es unerlässlich, dass auf dem eignen Rechner ein umfassender Schutz (z.B. Internet Security, Malwarescanner etc.) installiert ist. Die Methode des lokalen Speicherns birgt auch die Gefahr, dass man sich die Möglichkeit der Timestamp Suche nimmt, was eine Analyse der Seite erschweren kann.

Erste Massnahmen in der Übersicht:

  • Datenbank sichern (mit phpMyAdmin, MySQLDumper, usw.)
  • Website Verzeichnis (sofern die Seite nicht im Root-Verzeichnis läuft) auf dem Server umbennen und durch htaccess sowie htpasswd schützen. Läuft die Seite im Root, ein neues Verzeichnis erstellen und die bestehende Seite dorthin verschieben und diesen neuen Ordner wie beschrieben schützen.
  • Wartungsseite erstellen (einfache index.html Seite mit einem Hinweis auf Wartungsarbeiten in das nun leere Root-Verzeichnis legen)
  • Alternativ: Daten auf dem lokalen Rechner sichern
  • Alternativ: Abschliessend alle Dateien (ausser die neu erstellten htaccess, htpasswd und index.html) vom Server löschen

2. Einbruch untersuchen und Sicherheitlücke finden

Bevor man ein Backup seiner Seite wiederherstellt, muss die Sicherheitslücke gefunden und geschlossen werden. Andernfalls sind alle Massnahmen sinnlos, da ein Angreifer die Seite über die gleiche Lücke in kürzester Zeit wieder kompromitieren wird.

Analyse des Einbruchs:

  • Webserver- und FTP-Logs sichern*
  • Anhand des Timestamp den Zeitpunkt geänderter Dateien bestimmen. Dies ist aber eine relativ ungenaue Möglichkeit, da Timestamps ebenfalls häufig geändert werden.
  • Web-Server-Logs und FTP-Server-Logs untersuchen (Filtern nach POST / IPs / Dateinamen / Zugriffszeiten / typischen Angriffs-Strings unter Beachtung fortlaufender Erkenntnisse)
  • In der Benutzerverwaltung des Systems Auffälligkeiten erkennen z.B. neu hinzugefüge, nicht bekannte Administratoren
  • Nach typischen Einbruchmustern in Dateien suchen (z.B. "base64", "iframe", "eval" etc.)
  • Logfile Statistiken nach Auffälligkeiten (z.B. Sprunghafter Anstieg von Traffic oder E-Mails) durchsuchen
  • Vergleich des gehackten Datei-Systems mit einem Backup
  • Bei lokaler Kopie: Scan aller Daten mit Hilfe guter Anti-Virenprogramme
  • Analyse sämtlicher Core Dateien sowie Erweiterungen (Komponenten, Module, Plugins) auf Aktualität.
  • Deaktivierte Erweiterungen überprüfen
  • Dateistruktur im Komponenten-, Modul-, Media und Pluginverzeichnis mit der Installationsverwaltung in Joomla vergleichen, ob sich eventuell noch Altdateien auf dem Server befinden

Häufig nimmt die Analyse der kompromitierten Website mehr Zeit in Anspruch, als die Beseitigung des Hacks an sich. Allerdings ist das Erkennen der Sicherheitslücken und das Muster der geänderten Dateien elementär. Hier darf nichts übersehen werden, ansonsten ist die ganze Arbeit umsonst und die Seite wird erneut gehackt. Im Zweifel sollte man für die Analyse immer einen Profi zu Rate ziehen.

* Hinweis: sollten Sie keinen direkten Zugriff auf die Webserverlogs haben, fordern Sie diese bei Ihrem Hoster an.

3. Daten löschen, Backup laden, Passwörter ändern

Bei einer gehackten Seite werden durch den Angreifer häufig Backdoor-Scripte in den Account geladen, über die zu einem späteren Zeitpunkt jederzeit wieder die Kontrolle über die Website übernommen werden kann, ohne das es eine neue Sicherheitslücke geben muss. Diese Scripte sind oft Shell-Skripte, die sich getarnt mit beliebigen Dateinamen in beliebigen Verzeichnissen befinden können. Diese Skripte zu erkennen und vollständig zu löschen ist eine sehr zeitintensive Arbeit. Deshalb sollten alle Dateien sowie alle Verzeichnisse komplett gelöscht werden und ein sauberes Backup (das sich selbstverständlich vor dem Angriffszeitpunkt befinden muss) eingespielt werden.

Damit ein Angreifer keinen Zugriff mehr auf den Account bekommt, sollten nach dem löschen sämtliche Passwörter und Zugangsdaten zum Account neu vergeben werden. Denken Sie dabei bitte an die Sicherheit des neuen Passwortes. Das Passwort sollte dabei keinem Muster entsprechen und auch einem Brute-Force-Angriff stand halten können. Mehr Informationen zu sicheren Passwörtern finden Sie in unserem Beitrag Sicheres Passwort.

Betroffene Passwörter sind:

  • FTP-Passwort
  • MySQL-Passwort
  • Joomla Benutzer Passwörter für Administratoren und ggf. normalen Benutzern
  • Zugang zum Hostinganbieter (je nach schwere und Art des Hacks)
  • E-Mail-Postfächer (je nach schwere und Art des Hacks)

Wichtig: Bitte ändern Sie die Passwörter vor dem Wiederherstellen des Backups!

Weiteres Vorgehen:

  • Datein und Datenbanken löschen. Nicht nur die Dateien innerhalb des Homepage-Basisverzeichnisses, sondern den gesamten Webspaceaccount leeren.
  • Eine Sicherung (Backup) die vor dem analysierten Einbruch erstellt wurde einspielen
  • Datenbankinhalt per phpMyAdmin leeren und Sicherungsdump importieren.

In unserem Agenturalltag erleben wir es leider sehr häufig, dass keine oder nur unzureichende Backups zur Verfügung stehen. Auch in diesem Fall ist noch nicht alles verloren. Es gibt verschiedene Möglichkeiten, eine Seite wiederherzustellen die wir im nächsten Punkt aufzeigen möchten.

4. Sicherheitslücken schliessen, Seite wiederherstellen und freischalten

Ist die Sicherheitslücke identifiziert gibt es mehrere Möglichkeiten die Webseite wiederherzustellen:

Möglichkeit 1
Bei einem relativ einfachen Hack, bei dem nur eine Sicherheitslücke ausgenutzt wurde, keine Dateien verändert oder hinzugefügt wurden (Backdoor), genügt es, die Sicherheitslücke zu schliessen (z.B. durch Updates). Die Updates sollte man allerdings zur Sicherheit in einem nicht infiziertem Backup, das man sich lokal installiert, einspielen und somit das Risiko einer erneuten Infektion minimieren.

Möglichkeit 2
Bei einem sehr aufwändigem Hack bei dem mehrere Dateien geändert und zusätzlich Dateien ins System eingeschleusst wurden, raten wir zur Neuaufsetzung des Systems. Man installiert sich einen neuen Klon der Webseite mit allen Erweiterungen und erhält somit ein sauberes System. Im Anschluss spielt man die Datenbank in die saubere Installation ein und passt die Datenbank dem neuen System an. Diese Vorgehensweise erfordert ein grosses Mass an Erfahrung und sollte daher nicht von Laien vorgenommen werden. Mit dieser Art der Beseitigung von Sicherheitslücken kann man nahezu jede Internetseite wieder herstellen. Daher eignet sich diese Massnahme gerade für grosse Seiten, deren Neuerstellung sehr Zeitintensiv wäre.

Möglichkeit 3
Kompletter Neuaufbau der Webseite
- wenn es sich um kleinere Seiten mit überschaubarem Inhalt handelt, sollte man sich Gedanken darüber machen, ob ein kompletter Neuaufbau der Seite mit manueller Übertragung von Inhalten nicht die bessere und somit günstigere Variante wäre. Man erstellt die Seite von Grund auf neu und schliesst somit aus, dass Schadcode oder eine Backdoor übersehen wurde.

Egal für welche Variante man sich entscheidet: es ist essentiell wichtig, dass man alle Sicherheitslücken indentifiziert und geschlossen hat, bevor man eine Seite wieder ins Netz stellt. Man verringert somit nicht nur die Möglichkeit erneut gehackt zu werden, sondern man schliesst auch den Missbrauch des Servers durch Dritte aus.

5. Website gegen erneute Angriffe absichern

Spätestens nach einem Hack und der daraus resultierenden Erfahrung, sollte man sich mit dem Internet Sicherheit beschäftigen. Man wird damit keine 100%ige Sicherheit seiner Webseite erreichen können (weil es diese gar nicht geben kann) aber man kann es Angreifern schwer machen ein System zu kompromitieren. Gerade Scriptkiddies kann man mit gängigen Methoden den Zugriff auf seine Seiten verwären.

Wenn Sie mehr erfahren möchten wie man eine Website absichert oder Sie brauchen Hilfe bei einem Hack, kontaktieren Sie uns!

Wir können gehackte Webseiten reparieren!

Wenn Sie auf der Suche nach individuellen Lösungen sind oder etwas Einzigartiges wünschen, finden wir immer eine Lösung, die Ihren Vorstellungen und Wünschen entspricht.