Web­seite gehackt?

Mit einer gehack­ten Web­site wird nicht nur Ihnen als Web­seiten-Betrei­ber gescha­det, son­dern auch Drit­ten, z.B. in Form von Viren, Tro­ja­nern oder ande­rer Schad­soft­ware. Wie Sie einen Hack erken­nen und was Sie im Fall der Fäl­le sofort tun soll­ten lesen Sie hier.

4.6/5 – (30 votes) 

Wie erken­ne ich, dass mei­ne Web­site gehackt wurde?

Um zu erken­nen ob Ihre Web­site gehackt wur­de, über­prü­fen Sie regel­mä­ßig alle Funk­tio­nen und die kor­rek­te Dar­stel­lung Ihrer Web­site. Wir emp­feh­len Ihnen, ihre Web­seite min­des­tens ein­mal pro Monat kurz zu kon­trol­lie­ren, um fest­zu­stel­len, ob alles wie gewünscht funk­tio­niert. Dabei kön­nen Sie gleich zwei Flie­gen mit einer Klap­pe schla­gen und kon­trol­lie­ren, ob alle Infor­ma­tio­nen auf Ihrer Sei­te aktu­ell sind.

Moder­ne Brow­ser kön­nen Ihnen eben­falls einen Hin­weis geben, dass Ihre Web­seite gehackt wur­de. Hier sehen Sie die ent­spre­chen­de Mel­dung in den Brow­sern Fire­fox und dar­un­ter Chrome:

Als attackierend gemeldete Webseite!
Fire­fox Mel­dung: Als atta­ckie­rend gemel­de­te Webseite!

Chrome: Achtung Malware!
Chro­me Mel­dung: Ach­tung Malware!

Zie­le des Hackers

Ein Hacker­an­griff ver­folgt immer ein bestimm­tes Ziel. Ich möch­te hier zwei mög­li­che Zie­le von Hackern vorstellen.

Defa­ce­ment

Beim Defa­ce­ment geht es dar­um, ande­ren Hackern zu zei­gen, wie vie­le oder wie gro­ße Sei­ten ein Hacker ein­neh­men kann. Das geschieht, indem man die eigent­li­che Web­seite durch eine ande­re Web­seite ersetzt oder den Inhalt ändert.

Hijack­ing

Beim Hijack­ing geht es nicht dar­um, den Zugriff auf eine bestimm­te Sei­te für ande­re sicht­bar zu machen, son­dern ande­re Inhal­te als nur die Web­seite selbst and den Besucher aus­zu­ge­ben. Auf die­se Art und Wei­se kann z.B. Mal­wa­re auf vie­le Com­pu­ter ver­teilt werden.

Was ist zu tun?

1. Web­seite off­line schal­ten und vom Netz nehmen

Mit Hil­fe des Pass­wort­schut­zes stel­len Sie sicher, dass die Besucher Ihrer Web­seite kei­nen Scha­den mehr nehmen.
htaccess Login

Wie Sie für Ihre Web­seite einen Pass­wort­schutz ein­rich­ten, kön­nen Sie im Arti­kel Ver­zeich­nis­schutz mit htac­cess nachlesen.

2. Pass­wör­ter zurücksetzen

Wenn Sie einen Angriff fest­ge­stellt haben, wis­sen Sie noch nicht, über wel­chen Weg der Angrei­fer in Ihre Web­seite ein­ge­bro­chen ist. Aus die­sem Grund ist es wich­tig, dass Sie alle Pass­wör­ter, die mit Ihrer Web­seite zu tun haben, ändern. Damit wird sicher­ge­stellt, dass der Angrei­fer sich nicht ein­fach z.B. per FTP ein­log­gen kann, um Ihre Daten anzupassen.

Hier fin­den Sie eine Lis­te von Sys­te­men, die Pass­wör­ter für Ihre Web­seite nutzen:

  • FTP Service
  • SSH Service
  • MyS­QL Datenbank
  • htac­cess Passwortschutz
  • Con­tent Manage­ment Sys­tem (Joom­la, Word­Press, Typo3, Drup­al, und weitere)
  • Online-Shop Sys­tem (Shop­ware, PrestaShop, Magen­to, Oxid, und weitere)
  • Foren Soft­ware

Wich­tig ist, dass nach einem Hacker­an­griff jedes ein­zel­ne Pass­wort jedes Benut­zers Ihrer Web­seite geän­dert wer­den muss. Sonst lau­fen Sie Gefahr, dass sich der Angrei­fer nach der erfolg­rei­chen Wie­der­her­stel­lung und trotz der Besei­ti­gung der Sicher­heits­lü­cke mit dem Ihm bekann­ten alten Pass­wort in Ihr Sys­tem ein­log­gen kann.

3. Daten zur Ana­ly­se sichern

Damit her­aus­ge­fun­den wer­den kann, wie der Angrei­fer auf Ihre Datei­en zugrei­fen konn­te, ist es nötig, dass Sie Ihre FTP-Daten, einen Daten­bank­dump und wenn mög­lich die Log­da­tei­en für Ihre Web­seite herunter­laden und speichern.

FTP-Daten

Um Ihre FTP-Daten her­un­ter­zu­la­den, nut­zen Sie ein FTP Pro­gramm. Falls Sie bis­her noch kein FTP Pro­gramm benutzt haben, emp­feh­le ich Ihnen File­Zil­la. Das Pro­gramm ist kos­ten­los und kann von der Pro­jekt­sei­te https://filezilla-project.org/ her­un­ter­ge­la­den wer­den. Wei­te­re Infor­ma­tio­nen zur Benut­zung eines FTP-Cli­ents fin­den Sie in unse­rem Arti­kel Zugriff auf Ihren Web­space per FTP.

MyS­QL Daten­bank Dump

Um einen Daten­bank Dump Ihrer MyS­QL Daten­bank zu erstel­len, ist es sinn­voll, das Pro­gramm phpMy­Ad­min zu nut­zen. Die meis­ten Web­hos­ter bie­ten Ihnen einen Zugang zu einer sol­chen Ver­wal­tungs­soft­ware für Daten­ban­ken an.

Falls das nicht der Fall sein soll­te, kön­nen Sie schnell und ein­fach mit dem MyS­QLDum­per (http://www.mysqldumper.de/) arbei­ten. Eine Schritt-für-Schritt Anlei­tung fin­den Sie in unse­rem Arti­kel Daten­bank­dump mit MyS­QLDum­per erstel­len.

4. Back­up wiederherstellen

Als Back­up bezeich­net man all­ge­mein eine Sicher­heits­ko­pie wich­ti­ger Daten. Ein Back­up Ihrer Web­seite ent­hält alle Datei­en, die für den Inhalt, die Dar­stel­lung und die Funk­tio­nen Ihrer Web­seite nötig sind. Damit kann Ihre Web­seite mit rela­tiv gerin­gem Auf­wand auf den Stand des Back­ups „zurück­ver­setzt“ werden.

Back­ups sind ein lei­di­ges The­ma, denn man möch­te sie natür­lich nicht brauchen. Das Erstel­len und Ver­wal­ten von Back­ups bedeu­tet Auf­wand und Spei­cher­platz­ver­brauch ohne dass es einen direk­ten Vor­teil bringt. Im Fall einer gehack­ten Web­site ist ein Back­up jedoch äußerst wert­voll! Des­halb raten wir Ihnen, regel­mä­ßi­ge Back­ups Ihrer Web­site zu erstel­len. Sie kön­nen die­se Back­ups ent­we­der manu­ell erstel­len und auf Ihrem Com­pu­ter spei­chern oder Sie erkun­di­gen sich bei Ihrem Web­hos­ter, ob er Back­ups für Sie erstellt und spei­chert. Wir zum Bei­spiel bie­ten für unse­re Hos­ting­kun­den für nur 5€ pro Monat einen Back­up Service an.

Wenn Sie ein Back­up Ihrer Web­seite haben, das bis vor den Angriff zurück reicht, kön­nen Sie die­se Datei­en als Basis nut­zen, um die Sicher­heits­lü­cke zu schlie­ßen und anschlie­ßend Ihre Web­seite wie­der online zu stellen.

5. Ein­bruch unter­su­chen und Lücke finden

Es ist wich­tig, nach einem Hacker­an­griff die vom Hacker genutz­te Sicher­heits­lü­cke zu fin­den und sie zu schlie­ßen. Erst danach ist es sinn­voll, die Web­seite wie­der online zu stel­len. Ansons­ten kann die ver­meint­lich berei­nig­te Web­seite über die­sel­be Sicher­heits­lü­cke wie­der kom­pro­mit­tiert werden.

Der Ein­bruch kann unter­sucht wer­den, indem man die ein­zel­nen Datei­en ana­ly­siert und die­je­ni­gen aus­sor­tiert, die nicht Teil Ihres Web­auf­trit­tes sind. Wei­ter­hin sind hier­für die zuvor gesi­cher­ten Log­da­tei­en des Web­ser­vers hilf­reich, weil die­se Auf­schluss dar­über geben kön­nen, über wel­chen Weg der Angrei­fer Zugang zum Sys­tem bekom­men hat.

Erst wenn Sie sicher sind, dass Sie alle infi­zier­ten Datei­en Ihrer Sei­te gefun­den und berei­nigt haben, kön­nen Sie mit dem nächs­ten Schritt fortfahren.

6. Web­seite gegen Angrif­fe absichern

Um Angrif­fen auf Ihre Web­site vor­zu­beu­gen, ist es sinn­voll, in regel­mä­ßi­gen Abstän­den die ver­füg­ba­ren Sicher­heits­up­dates für die ein­ge­setz­te Soft­ware zu instal­lie­ren. Das kön­nen Sie ent­we­der manu­ell sel­ber machen oder wahl­wei­se kön­nen Sie auch auf gema­nag­te Web­hos­ting-Angebote zurück grei­fen. Dabei küm­mert sich der Hos­ter um die genann­ten Updates und Sie müs­sen sich nicht dar­um kümmern.

Falls Sie ein CMS Sys­tem wie Word­Press, Joom­la!, Typo3 oder Drup­al nut­zen, ist es sinn­voll, zu prü­fen ob Ihre Web­seite auf dem aktu­ells­ten Stand der Soft­ware­ver­si­on läuft. Zudem soll­ten Sie auch dar­auf ach­ten, dass alle Plug­ins aktu­ell sind. Erst dann sind alle Sicher­heits­up­dates instal­liert und Sie sind bes­ser gegen wei­te­re Angrif­fe geschützt. Ach­ten Sie dabei auch dar­auf, dass The­mes auch auf dem aktu­el­len Stand sind, sowohl akti­ve als auch inaktive.

Schau­en Sie sich unse­re Web­hos­ting Pake­te an. Wir bie­ten zu jedem Web­hos­ting-Paket auch ein ent­spre­chen­des Manage­ment an. In jedem Hosting-Paket ist min­des­tens eine freie Domain, PHP, MyS­QL und ein Mail Set­up für Ihre Domain inbegriffen.

7. Such­ma­schi­nen benachrichtigen

Um die „Mal­wa­re“ Mel­dung in den Brow­sern mög­lichst schnell zu ent­fer­nen, ist es nötig, die gro­ßen Such­ma­schi­nen dar­über zu infor­mie­ren, dass die Web­seite berei­nigt wur­de. Bei Google ist das über die Google Web­mas­ter-Tools mög­lich. Bei Bing ana­log über die Bing Web­mas­ter-Tools. Falls Sie Ihre Web­seite dort noch nicht regis­triert haben ist das sehr sinn­voll, weil damit sicher­ge­stellt wird, dass Ihre Sei­te im Index der Such­ma­schi­nen landet.

Genaue­re Infor­ma­tio­nen zur Berei­ni­gung einer Word­Press Websei­te

Sie nut­zen Word­Press als CMS und wur­den gehackt? Hier gibt es aus­führ­li­che­re Infor­ma­tio­nen und Code­schnip­sel zur Bereinigung!

 

Schreibe einen Kommentar