====== Was ist zu tun, wenn in meine Webseite "eingebrochen" wurde? ====== Wir versuchen auf unseren Servern von vorne herein die größtmögliche Sicherheit zu bieten und sind davon überzeugt, dass auch unsere Kunden stets im Sinne ihrer eigenen Sicherheit agieren. Dennoch kann es vorkommen, dass z.B. die eingesetzte Foren-Software oder der eigene Blog eine kritische Sicherheitslücke besitzt, die einem Angreifer das eindringen in die eigene Webseite ermöglicht. Dieses Kapitel soll einen kurzen Überblick geben, was in einem solchen Fall zu tun ist. ===== Was ist zu tun? ===== ==== Webseite offline schalten ==== Im ersten Schritt muss natürlich sichergestellt werden, dass eine kompromittierte Webseite keinen Schaden mehr anrichten kann und auch nicht mehr von außen zugänglich ist. Das Offline schalten der Webseite geschieht recht problemlos über das tiggersWelt.net [[:Kundeninterface]] unter dem Punkt [[:Kundeninterface:Webserver]] gibt es in den [[:Kundeninterface:Webserver:Einstellungen]] der betroffenen Domain die Option **Diesen Webserver verwenden** . Wird diese auf **Nein** gestellt, wird die Domain binnen 3 Minuten vom Internet genommen. ==== Passwörter ändern ==== Statistisch gesehen fallen Passwörter bei uns als Sicherheitsrisiko zwar nicht ins Gewicht, dennoch gehört es zur gründlichen Nacharbeit alle Passwörter im Kundenaccount zu ändern. In manchen Fällen sind z.B. auch E-Mail-Passwörter mit einem MySQL-Passwort, was bei einem Einbruch meist leicht eingesehen werden kann, identisch - daher ist hier oberste Vorsicht geboten! ==== Den Support informieren ==== Ein Angriff auf eine Webseite stellt immer ein gewisses Risiko für den gesamten Webserver, also auch für andere Kunden, dar. Daher ist es zwingend notwendig, dass unser [[:Support]] über den Einbruch informiert wird. Der [[:Support]] kann neben der Analyse der allgemeinen Gefahr auf dem System natürlich auch helfend zur Hand gehen, wenn es darum geht Backups der aktuellen Seite zu erstellen, Zugriffsprotokolle (sofern vorhanden) zu analysieren oder alte Backups wieder einzuspielen. Auch dient er natürlich aus kompetenter Ansprechpartner zu jeglichen Sicherheitsfragen. ==== Backup der Webseite erstellen ==== Wie bei einem normalen Einbruch auch gilt es Spuren für eine spätere Analyse zu sichern - im Webhosting-Leben ist das zum Glück etwas einfacher als in der //realen// Welt: * Alle Daten per FTP herunterladen und sicher verwahren - am besten in einem //entsprechend gekennzeichneten// ZIP-Archiv. * In einige Fällen kann es auch vorkommen, dass Datenbanken kompromittiert wurden, daher sollten diese auf jeden Fall ebenfalls heruntergeladen und archiviert werden. In den meisten Fällen kann hier der [[:Support]] ebenfalls hilfreich zur Hand gehen. ==== Einfallstor ausfindig machen ==== Kein Einbruch geschieht ohne Einfallstor. Wie eingangs erwähnt handelt es sich hierbei meistens um Sicherheitslücken in Standardsoftware. Daher sollte man im Vorfeld bereits auf den Webseiten der eingesetzten Software nach Updates oder Sicherheitsmeldungen schauen.# Bekannte Webseites die Sicherheitsmeldungen verbreiten (siehe auch "Weiterführende Links") sind hier ebenfalls eine Hilfe. ==== Bestehendes Backup einspielen ==== Bei einer kompromittierten Webseite ist es meistens sehr schwer zu erkunden wo sich überall ein Eindringlich eingenistet hat. Daher ist es unumgänglich das letzte //funktionierende// Backup einzuspielen. Der Support hilft hier gerne beim Entpacken des Archives weiter wodurch die Upload-Zeit ggf. etwas veringert werden kann. ==== Beschränkten Zugriff auf die Webseite freischalten ==== Da das letzte Backup tendenziell wieder angreifbar ist, müssen nun Updates eingespielt werden. In vielen Fällen wird hierzu ein Zugriff über den Webbrowser benötigt, daher sollte der Zugriff Schritt für Schritt wiederhergestellt werden. In den [[:Kundeninterface:Webserver:Verzeichnisse|Verzeichnis-Einstellungen]] des Webservers gibt es die Möglichkeit den Zugriff auf bestimmte IP-Adressen zu beschränken. Dort einfach die [[http://ddns.tiggerswelt.net/checkip|eigene IP-Adresse]] unter "Erlaubte Adressen" eintragen und den Lese- wie auch den Schreibzugriff beschränken. Nach dieser Beschränkung kann unter [[:Kundeninterface:Webserver:Einstellungen]] der Webserver wieder verwendet werden. ==== Updates einspielen ==== Anschließend kann die eingesetzte Software auf den neusten Stand gebracht werden. ==== Webseite wieder freischalten ==== Sobald alle Maßnahmen abgeschlossen sind, kann die Beschränkung auf die eigene IP-Adresse in den [[:Kundeninterface:Webserver:Verzeichnisse|Verzeichnis-Einstellungen]] wieder entfernt werden. Dazu einfach das Feld "Erlaubte Adressen" leeren bzw. zurücksetzen und die Beschränkung des Lese- und Schreibzugriffs wieder aufheben (sofern nicht vorher gesetzt). ===== Weiterführende Links ===== * [[http://cert.uni-stuttgart.de/|RUS CERT]] (Universität Stuttgart) * [[http://www.heise.de/newsticker/|Heise.de Newsticker]]