Wie erken­ne ich, dass mei­ne Web­site gehackt wur­de?

All­ge­mein

Wich­tig ist: Mit einer gehack­ten Web­site wird nicht nur Ihnen als Web­seiten-Betrei­ber gescha­det, son­dern auch Drit­ten, z.B. in Form von Viren, Tro­ja­nern oder ande­rer Schad­soft­ware.

Um zu erken­nen ob Ihre Web­site gehackt wur­de, über­prü­fen Sie regel­mä­ßig ob Ihre Sei­te noch alle Funk­tio­nen bie­tet und so dar­ge­stellt wird, wie Sie sie ins Netz gestellt haben. Geschickt ist es jeden Monat ein­mal kurz über die Web­site zu schau­en, um fest­zu­stel­len, ob alles wie gewünscht funk­tio­niert. Dabei kön­nen Sie gleich zwei Flie­gen mit einer Klap­pe schla­gen und kon­trol­lie­ren gleich­zei­tig, ob alle Infor­ma­tio­nen auf Ihrer Sei­te noch aktu­ell sind.

Viel­leicht sehen Sie bereits die­se Mel­dung im Brow­ser:

Als attackierend gemeldete Webseite!
Fire­fox Mel­dung: Als atta­ckie­rend gemel­de­te Web­seite!

Chrome: Achtung Malware!
Chro­me Mel­dung: Ach­tung Mal­wa­re!

Ein Hacker­an­griff ver­folgt immer ein bestimm­tes Ziel. Ich möch­te hier zwei Zie­le vor­stel­len.

Defa­ce­ment

Beim Defa­ce­ment geht es dar­um, ande­ren Hackern zu zei­gen, wie vie­le oder wie gro­ße Sei­ten ein Hacker ein­neh­men kann. Das geschieht, indem man die eigent­li­che Web­seite durch eine ande­re Web­seite ersetzt oder den Inhalt ändert.

Hijacking

Beim Hijacking geht es nicht dar­um, den Zugriff auf eine bestimm­te Sei­te für ande­re sicht­bar zu machen, son­dern ande­re Inhal­te als nur die Web­seite selbst and den Besucher aus­zu­ge­ben. Auf die­se Art und Wei­se kann z.B. Mal­wa­re auf vie­le Com­pu­ter ver­teilt wer­den.

Web­seite off­line schal­ten und vom Netz neh­men

Mit Hil­fe des Pass­wort­schut­zes stel­len Sie sicher, dass die Besucher Ihrer Web­seite kei­nen Scha­den mehr neh­men.
htaccess Login

Wie Sie für Ihre Web­seite einen Pass­wort­schutz ein­rich­ten, kön­nen Sie im Arti­kel Ver­zeich­nis­schutz mit htac­cess nach­le­sen.

Pass­wör­ter zurück­set­zen

Wenn Sie einen Angriff fest­ge­stellt haben, wis­sen Sie noch nicht, über wel­chen Weg der Angrei­fer in Ihre Web­seite ein­ge­bro­chen ist. Aus die­sem Grund ist es wich­tig, dass Sie alle Pass­wör­ter, die mit Ihrer Web­seite zu tun haben, ändern. Damit wird sicher­ge­stellt, dass der Angrei­fer sich nicht ein­fach z.B. per FTP ein­log­gen kann, um Ihre Daten anzu­pas­sen.

Hier fin­den Sie eine Lis­te von Sys­te­men, die Pass­wör­ter für Ihre Web­seite nut­zen:

  • FTP Service
  • SSH Service
  • MyS­QL Daten­bank
  • htac­cess Pass­wort­schutz
  • Con­tent Manage­ment Sys­tem (Joom­la, Word­Press, Typo3, Dru­pal, und wei­te­re)
  • Online-Shop Sys­tem (Shop­ware, PrestaShop, Magen­to, Oxid, und wei­te­re)
  • Foren Soft­ware

Wich­tig ist, dass nach einem Hacker­an­griff jedes ein­zel­ne Pass­wort jedes Benut­zers Ihrer Web­seite geän­dert wer­den muss. Sonst lau­fen Sie Gefahr, dass sich der Angrei­fer nach der erfolg­rei­chen Wie­der­her­stel­lung und trotz der Besei­ti­gung der Sicher­heits­lü­cke mit dem bekann­ten Pass­wort in Ihr Sys­tem ein­log­gen kann.

Daten zur Ana­ly­se sichern

Damit her­aus­ge­fun­den wer­den, kann wie der Angrei­fer auf Ihre Datei­en zugrei­fen konn­te, ist es nötig, dass Sie Ihre FTP-Daten, einen Daten­bank­dump und wenn mög­lich die Log­da­tei­en für Ihre Web­seite her­un­ter­la­den.

FTP-Daten

Um Ihre FTP-Daten her­un­ter­zu­la­den, nut­zen Sie ein FTP Pro­gramm. Falls Sie bis­her noch kein FTP Pro­gramm hat­ten, emp­feh­le ich File­Zil­la. Das Pro­gramm ist kos­ten­los und kann von der Pro­jekt­sei­te https://filezilla-project.org/ her­un­ter­ge­la­den wer­den. Wei­te­re Infor­ma­tio­nen zur Benut­zung eines FTP-Cli­ents fin­den Sie im Arti­kel Zugriff auf Ihren Webspace per FTP.

MyS­QL Daten­bank Dump

Um einen Daten­bank Dump Ihrer MyS­QL Daten­bank zu erstel­len, ist es sinn­voll, das Pro­gramm phpMy­Ad­min zu nut­zen. Die meis­ten Web­hos­ter bie­ten einen Zugang zu einer sol­chen Ver­wal­tungs­soft­ware für Daten­ban­ken an.

Falls das nicht der Fall sein soll­te, kön­nen Sie schnell und ein­fach mit dem MyS­QLDum­per (http://www.mysqldumper.de/) arbei­ten. Eine Schritt-für-Schritt Anlei­tung fin­den Sie im Arti­kel Daten­bank­dump mit MyS­QLDum­per erstel­len.

Back­up wie­der­her­stel­len

Wenn Sie ein Back­up Ihrer Web­seite haben, das bis vor den Angriff zurück reicht, kön­nen Sie die­se Datei­en als Basis nut­zen, um die Sicher­heits­lü­cke zu schlie­ßen und anschlie­ßend Ihre Web­seite wie­der online stel­len.

Am bes­ten ist es, wenn man Back­ups nie braucht, aber soll­te man ein­mal Back­ups brau­chen ist es opti­mal, wenn man auch wel­che hat. Des­halb ist es immer sinn­voll Back­ups zu erstel­len, selbst wenn es erst etwas mehr Auf­wand ist. Fra­gen Sie Ihren Web­hos­ter ob er für Sie Back­ups erstellt.

Ein­bruch unter­su­chen und Lücke fin­den

Es ist wich­tig, nach einem Hacker­an­griff die Sicher­heits­lü­cke zu fin­den und sie zu schlie­ßen. Erst danach ist es sinn­voll, die Web­seite wie­der online zu stel­len, denn vor­her kann die ver­meint­lich berei­nig­te Web­seite über die­sel­be Sicher­heits­lü­cke wie­der kom­pro­mit­tiert wer­den.

Der Ein­bruch kann unter­sucht wer­den, indem man die ein­zel­nen Datei­en ana­ly­siert und die­je­ni­gen aus­sor­tiert, die nicht Teil Ihres Web­auf­trit­tes sind. Wei­ter­hin sind hier­für die zuvor gesi­cher­ten Log­da­tei­en des Web­ser­vers hilf­reich, weil die­se Auf­schluss dar­über geben kön­nen, über wel­chen Weg der Angrei­fer Zugang zum Sys­tem bekom­men hat.

Haben Sie alle infi­zier­ten Datei­en Ihrer Sei­te gefun­den und berei­nigt kön­nen Sie mit dem nächs­ten Schritt fort­fah­ren. Ver­ge­wis­sern Sie sich, dass Sie alle infi­zier­ten Datei­en berei­ni­gen oder ent­fer­nen.

Web­seite gegen Angrif­fe absi­chern

Um sol­chen Angrif­fen vor­zu­beu­gen, ist es sinn­voll, in regel­mä­ßi­gen Abstän­den die ver­füg­ba­ren Sicher­heits­up­dates für die ein­ge­setz­te Soft­ware zu instal­lie­ren. Wahl­wei­se kön­nen Sie auch auf gema­nag­te Web­hos­ting-Ange­bo­te zurück grei­fen. Hier küm­mert sich der Hos­ter um die genann­ten Updates und Sie müs­sen sich nicht dar­um küm­mern.

Falls Sie ein CMS Sys­tem wie Word­Press, Joom­la!, Typo3 oder Dru­pal nut­zen ist es sinn­voll zu prü­fen ob Ihre Web­seite auf dem aktu­ells­ten Stand der Soft­ware­ver­si­on läuft. Zudem soll­ten Sie auch dar­auf ach­ten, dass alle Plugins aktu­ell sind. Erst dann sind alle Sicher­heits­up­dates instal­liert und Sie sind bes­ser gegen wei­te­re Angrif­fe geschützt. Ach­ten Sie dabei auch dar­auf, dass The­mes auch auf dem aktu­el­len Stand sind, sowohl akti­ve als auch inak­ti­ve.

Schau­en Sie sich unse­re Web­hos­ting Pake­te an. Wir bie­ten zu jedem Web­hos­ting-Paket auch ein ent­spre­chen­des Manage­ment an. In jedem Hosting-Paket ist min­des­tens eine freie Domain, PHP, MyS­QL und ein Mail Set­up für Ihre Domain inbe­grif­fen.

Such­ma­schi­nen benach­rich­ti­gen

Um die Mel­dung in den Brow­sern mög­lichst schnell zu ent­fer­nen ist es nötig die gro­ßen Such­ma­schi­nen dar­über zu infor­mie­ren, dass die Web­seite berei­nigt wur­de. Bei Goog­le ist das über die Goog­le Web­mas­ter-Tools mög­lich. Bei Bing ana­log über die Bing Web­mas­ter-Tools. Falls Sie Ihre Web­seite dort noch nicht regis­triert haben ist das sehr sinn­voll, weil damit sicher­ge­stellt wird, dass Ihre Sei­te im Index der Such­ma­schi­nen lan­det.

Web­seite gehackt?
5 (100%) 4 Bewertung[en]

Schreiben Sie einen Kommentar