Was ist zu tun, wenn in meine Webseite "eingebrochen" wurde?

Wir versuchen auf unseren Servern von vorne herein die größtmögliche Sicherheit zu bieten und sind davon überzeugt, dass auch unsere Kunden stets im Sinne ihrer eigenen Sicherheit agieren. Dennoch kann es vorkommen, dass z.B. die eingesetzte Foren-Software oder der eigene Blog eine kritische Sicherheitslücke besitzt, die einem Angreifer das eindringen in die eigene Webseite ermöglicht.

Dieses Kapitel soll einen kurzen Überblick geben, was in einem solchen Fall zu tun ist.

Im ersten Schritt muss natürlich sichergestellt werden, dass eine kompromittierte Webseite keinen Schaden mehr anrichten kann und auch nicht mehr von außen zugänglich ist.

Das Offline schalten der Webseite geschieht recht problemlos über das tiggersWelt.net Kundeninterface (KIF) unter dem Punkt Webserver gibt es in den Einstellungen der betroffenen Domain die Option Diesen Webserver verwenden . Wird diese auf Nein gestellt, wird die Domain binnen 3 Minuten vom Internet genommen.

Statistisch gesehen fallen Passwörter bei uns als Sicherheitsrisiko zwar nicht ins Gewicht, dennoch gehört es zur gründlichen Nacharbeit alle Passwörter im Kundenaccount zu ändern. In manchen Fällen sind z.B. auch E-Mail-Passwörter mit einem MySQL-Passwort, was bei einem Einbruch meist leicht eingesehen werden kann, identisch - daher ist hier oberste Vorsicht geboten!

Ein Angriff auf eine Webseite stellt immer ein gewisses Risiko für den gesamten Webserver, also auch für andere Kunden, dar. Daher ist es zwingend notwendig, dass unser Support über den Einbruch informiert wird.

Der Support kann neben der Analyse der allgemeinen Gefahr auf dem System natürlich auch helfend zur Hand gehen, wenn es darum geht Backups der aktuellen Seite zu erstellen, Zugriffsprotokolle (sofern vorhanden) zu analysieren oder alte Backups wieder einzuspielen. Auch dient er natürlich aus kompetenter Ansprechpartner zu jeglichen Sicherheitsfragen.

Wie bei einem normalen Einbruch auch gilt es Spuren für eine spätere Analyse zu sichern - im Webhosting-Leben ist das zum Glück etwas einfacher als in der realen Welt:

• Alle Daten per FTP herunterladen und sicher verwahren - am besten in einem entsprechend gekennzeichneten ZIP-Archiv.
• In einige Fällen kann es auch vorkommen, dass Datenbanken kompromittiert wurden, daher sollten diese auf jeden Fall ebenfalls heruntergeladen und archiviert werden.

In den meisten Fällen kann hier der Support ebenfalls hilfreich zur Hand gehen.

Kein Einbruch geschieht ohne Einfallstor. Wie eingangs erwähnt handelt es sich hierbei meistens um Sicherheitslücken in Standardsoftware. Daher sollte man im Vorfeld bereits auf den Webseiten der eingesetzten Software nach Updates oder Sicherheitsmeldungen schauen.#

Bekannte Webseites die Sicherheitsmeldungen verbreiten (siehe auch „Weiterführende Links“) sind hier ebenfalls eine Hilfe.

Bei einer kompromittierten Webseite ist es meistens sehr schwer zu erkunden wo sich überall ein Eindringlich eingenistet hat. Daher ist es unumgänglich das letzte funktionierende Backup einzuspielen.

Der Support hilft hier gerne beim Entpacken des Archives weiter wodurch die Upload-Zeit ggf. etwas veringert werden kann.

Da das letzte Backup tendenziell wieder angreifbar ist, müssen nun Updates eingespielt werden. In vielen Fällen wird hierzu ein Zugriff über den Webbrowser benötigt, daher sollte der Zugriff Schritt für Schritt wiederhergestellt werden.

In den Verzeichnis-Einstellungen des Webservers gibt es die Möglichkeit den Zugriff auf bestimmte IP-Adressen zu beschränken. Dort einfach die eigene IP-Adresse unter „Erlaubte Adressen“ eintragen und den Lese- wie auch den Schreibzugriff beschränken.

Nach dieser Beschränkung kann unter Einstellungen der Webserver wieder verwendet werden.

Anschließend kann die eingesetzte Software auf den neusten Stand gebracht werden.

Sobald alle Maßnahmen abgeschlossen sind, kann die Beschränkung auf die eigene IP-Adresse in den Verzeichnis-Einstellungen wieder entfernt werden. Dazu einfach das Feld „Erlaubte Adressen“ leeren bzw. zurücksetzen und die Beschränkung des Lese- und Schreibzugriffs wieder aufheben (sofern nicht vorher gesetzt).

• RUS CERT (Universität Stuttgart)
• Heise.de Newsticker