Malware Hack auf unsere Seiten abgewehrt!

Malware WarnungWie sicher einigen in den letzten Tagen aufgefallen ist, bin ich Opfer einer Hacker-Attacke geworden. Dieser Hackerangriff war so Erfolgreich das er nicht nur den Blog, sondern auch andere Seiten auf meinem Server außer Gefecht setzte. Da dies nicht der erste Angriff auf meine Seiten ist und sich in den letzten Monaten solche Übergriffe gegen kleine und mittlere Seiten häufen möchte ich mit diesem Beitrag meine Erkenntnisse zum Thema Malware und Serverhacking veröffentlichen und so dazu beizutragen das wir alle unsere Seiten sicherer gestalten und diese sinnlosen und kindischen Angriffe ein Ende haben.

Anscheinend hat dieser Hacker eine Sicherheitslücke in WordPress ausgenutzt und so Zugriff auf den Webspace des Servers erhalten. Er infizierte die .htaccess Datei mit einer simplen Weiterleitung auf eine Niederländische Domain. Auf dieser Hollendischen Seite befindet sich laut Google Malware.

 

Was ist Maleware?

Malware ist der Oberbegriff für Schadprogramme die den zweck der Schädigung des Computers oder das unerlaubte  sammeln und nutzen personenbezogener Daten. Also kann man somit jegliche Form von Internetschädlingen, wie zum Beispiel Viren, Würmer, Trojana oder Weiterleitungen zu sogenannten Phishingseiten als Malware bezeichnen. Eine gute Beschreibung was Malware ist findet man bei Wikipedia.

Gegenmaßnahmen.

 

Malware WarnungZuerst muss man herausfinden welche Dateien infiziert oder verändert wurden. Dazu sollte man ungefähr wissen wann man welche Datei bearbeitet hat. Meist jedoch sind es entweder die index.php, index.html oder die .htaccess Datei die auf einmal viel größer wird. in meinem Fall war bei der WP-Installation die htaccess Datei durch einen zusätzlichen Code ergänzt der die Weiterleitung auslöste. Allerdings reicht es nicht aus die Datei einfach zu ersetzen denn man wird schnell merken das in spätestens 30 Minuten das Problem wieder da ist. Denn der Hacker oder sein Skript können ja immer noch die Sicherheitslücken nutzen und den Schadcode wieder einfügen. Bei mir hat dass verändern der Dataiberechtigung der htaccess Datei auf CHMOD: 555 geholfen ein wiederholtes infizieren zu verhindern.

Nach der Entfernung der Schadhaften Codezeilen muss man, sollten die Seite bei Google bereits gesperrt sein, noch in den Google Webmaster Tools um wieder freigegeben zu werden eine Überprüfung beantragen. Dazu braucht man natürlich einen Google-Account und muss seine Webseiten auch in den Webmaster Tools angelegt haben. In einem gesondertem Beitrag werde ich alles rund um die Google Webmaster Tools erläutern.

Tipps & Einstellungen um einen Hackerangriff zu vereiteln.

Um zukünftig eine sicherere Seite zu betreiben habe ich natürlich einiges an WordPress nachgebessert und auch einige Einstellungen am FTP-Server verbessert. Hier die einzelnen Schritte die eine WordPress-Seite aber auch konventionelle HTML/PHP Projekte sicherer gegen solche Codeinjections machen.

Sicheres Passwort:

Das wohl sicherste gegen fremde Zugriffe auf die eigenen Dateien ist ein sicheres Passwort für WordPress, den FTP-Server und die MySQL-Datenbank. Ein sicheres Passwort sollte mindestens 10 Stellen lang sein aus Zahlen, Buchstaben (große und kleine) und Sonderzeichen bestehen. Auch sollte man nicht ein Passwort für alles nutzen, sondern jeweils ein eigenes Passwort für jeden Zugang wählen. Eine gute Möglichkeit sich ein solches Passwort anzulegen und es dann nicht wieder zu vergessen ist die „Eselsbrücke“ so kann man sich ein sicheres Passwort gut merken. Sie bilden einen Persönlichen und mindestens 10 Wörter umfassenden Satz. Nehmen dann die jeweiligen Anfangsbuchstaben.  Beispiel: „Das hier ist mein persönlicher Blog, otti24.de!“ ergibt das Passwort: DhimpB,o24.de! . (Versucht es erst gar nicht – Das ist natürlich nicht mein Passwort)

Dateirechte setzen:

Um den Zugriff von außen komplett einzuschränken und somit solche Codeinjections zu verhindern ist es sehr wichtig, die Dateirechte so zu setzen das niemand nicht einmal sie selbst Schreibrechte besitzen. Wenn sie sich jetzt fragen: „warum nicht einmal sie selber schreiben dürfen?“ Eine Attacke mit Codeinjections erfolgt immer in ihrem „Namen“, der Hacker schreibt ja mit ihrem Zugangsdaten und der Server denkt, sie würden diese Veränderungen vornehmen.

Bei statischen HTML Seiten sollten sie die Dateirechte für alle Dateien auf chmod 555 setzen. 555 Bedeutet jeder kann die Dateien öffnen und Scripte ausführen, nur darf niemand etwas an den Dateien ändern! Wenn Sie bewusst etwas an den Dateien ändern möchten, können sie die Rechte für den Zeitraum in dem sie an den Dateien arbeiten auf 777 (Vollzugriff) ändern, denken Sie aber bitte daran nach Ihrem Zugriff die Rechte wieder zurück auf 555 zu setzen.

Bei einer WordPress-Seite können Sie alle Dateien und Ordner außer den Ordner „wp-content“ auf Chmod 555 setzen, Im Ordner „wp-content“ werden alle ihre Inhalte wie Bilder, Plugins usw. gespeichert.

Benutzerregistrierung Abschalten:

In den Meisten WordPress-Blogs benötigt man keine Registrierfunktion da die Schreiberlinge ja nicht fremd sind und der Administrator den Redakteuren einen Account anlegen kann. Daher sollte man die Funktion sich registrieren zu können abschalten. Dazu gehen Sie einfach auf den Link Einstellungen und setzen den Punkt unter Registrierungseinstellungen auf „Registrierung ist deaktiviert“. Jetzt kann der Hacker sich auch keinen Account mehr anlegen und bekommt nicht mal einen Account.

WordPress PlugIns:

Um WordPress auf Sicherheitslücken zu untersuchen und schadhafte Codeinjections Frühzeitig zu erkennen und zu entfernen gibt es auch einige wirksame PlugIns die Sie installieren sollten:

Anti-Malware (Get Off Malicious Scripts) (von Eli Scheetz)
Hierbei handelt es sich um einen Malwarscanner der alle WordPress Dateien wie ein Virenscanner überprüft ob schadhafter Code vorhanden ist.

AntiVirus (von Sergej Müller)
Ist ein Virenscanner der das installierte Theme von WordPress auf Schadinhalte überprüft.

Timthumb Vulnerability Scanner (von Peter Butler)
Das wohl wichtigste Plugin um Sicherheitslücken bei WordPress aufzuspüren. Die Timbthumb-Dateien von WordPress sind bekannt dafür das sie wenn sie nicht Aktuell sind, einen wahren Sicherheitslücken Fundus darstellen. Dieser Scanner spürt bekannte Sicherheitslücken in diesen Dateien auf und zeigt auch welche nicht mehr aktuell sind.

Login LockDown (von Michael VanDeMar)
Dieses Plugin logt alle fehlgeschlagenen Login versuche bei WordPress. Diese Information ist gut um frühzeitig zu sehen ob jemand versucht hat das Passwort durch ausprobieren herauszufinden. Wenn hier Ergebnisse Erscheinen sollte man das Passwort noch sicherer gestallten.

 

Wenn man sich an alle Sicherheitsregeln und WordPress aktuell hält ist die Seite zwar nicht unknackbar aber man macht es den Angreifern wirklich schwer die Seite zu hacken.
Wenn Ihr noch weitere PlugIns kennt um WordPress sicherer zumachen dann bitte ich euch diese in den Kommentaren vorzustellen.
Auch fragen zum Thema beantworte ich gerne.

[ratings]

Schreibe einen Kommentar

You have to agree to the comment policy.