Chrome Dev Summit 2018 is happening now and streaming live on YouTube. Watch now.

Sicherheitslücken ermitteln

Da mehrere unabhängige Hacks vorliegen können, empfehlen wir, auch nach dem Auffinden und Beseitigen einer Sicherheitslücke mit der Suche fortzufahren. Lesen Sie dazu zuerst die Informationen über die gängigsten Methoden von Spammern beim Hacken von Websites.

Sie benötigen Folgendes:

  • Shell- bzw. Terminal-Administratorzugriff auf Ihre Website-Server: Web, Datenbank, Dateien
  • Kenntnisse der Shell- bzw. Terminal-Befehle
  • Code-Kenntnisse (z. B. PHP oder JavaScript)
  • Möglichkeit zur Ausführung zweier AV-Scanner

Nächste Aktionen:

Hier besprechen wir mehrere gängige Möglichkeiten, wie eine Website manipuliert werden kann. Wir hoffen, dass eine dieser Sicherheitslücken auf Ihre Website zutrifft oder wenigstens Hinweise auf andere Möglichkeiten gibt.

Bitte beachten Sie, dass sich Sicherheitslücken-Scanner von Virenscannern unterscheiden. Sicherheitslücken-Scanner können Ihre Website deutlich stärker beeinflussen und beschädigen. Bitte führen Sie alle angegebenen Schritte durch, wie z. B. das Sichern Ihrer Website, bevor Sie den Scanner starten.

Zu den potenziellen, zu untersuchenden Sicherheitslücken gehören folgende:

1. Mit Viren infizierte Administratorcomputer

Der Hacker hat möglicherweise Spyware auf einem virenbefallenen Administratorcomputer installiert, um die Tastatureingaben des Website-Administrators aufzuzeichnen.

  • Prüfen Sie die Systeme des Administrators auf Viren. Wir empfehlen, mehrere leistungsfähige Virenscanner auf allen Computern auszuführen, über die sich ein Administrator auf der Website anmeldet. Da fortwährend neue Malware entwickelt wird, mit der Scanner umgangen werden sollen, ist dies keine sichere Methode zur Erkennung von Viren. Virenscanner können auch fehlerhafte Warnungen abgeben. Deshalb kann der Einsatz mehrerer Scanner zusätzliche Daten dazu liefern, ob eine Sicherheitslücke vorliegt. Sie sollten auch in Betracht ziehen, sicherheitshalber Ihren Webserver und alle Geräte zu scannen, die Sie zum Aktualisieren oder Posten auf der Website verwenden.
    • Falls dabei Spyware, ein Virus, ein Trojaner oder andere verdächtige Programme erkannt werden, sollten Sie die Serverprotokolle auf Aktivitäten des Administrators untersuchen, dem der infizierte Computer gehört.
    • Protokolldateien können durch den Hacker verändert worden sein. Dennoch können Übereinstimmungen des Nutzernamens mit verdächtigen Befehlen in der Protokolldatei ein weiterer Hinweis darauf sein, dass ein Virus auf dem System des Administrators eine Sicherheitslücke auf der Website verursacht hat.

2. Schwache oder wiederverwendete Passwörter

Das Knacken eines schwachen Passworts kann für Hacker relativ einfach sein und ermöglicht ihnen direkten Zugriff auf Ihren Server. Sichere Passwörter bestehen aus einer Kombination aus Buchstaben, Ziffern und Satzzeichen ohne Wörter, die in irgendeinem Wörterbuch zu finden sind. Jedes Passwort sollte nur für eine einzige Anwendung verwendet werden und nicht im gesamten Web. Wenn Passwörter wiederverwendet werden, reicht dem Hacker eine einzige Sicherheitslücke in irgendeiner Anwendung, um die vollständigen Anmeldedaten zu ermitteln und danach an anderer Stelle auszunutzen.

  • Prüfen Sie das Serverprotokoll auf unerwünschte Aktivitäten, z. B. mehrfache Anmeldeversuche für einen Administrator oder unerwartete Befehle. Notieren Sie sich, wann die verdächtige Aktivität jeweils aufgetreten ist. Wenn Sie den Zeitpunkt des ersten Zugriffs durch den Hacker ermitteln, können Sie dadurch bestimmen, welche Sicherungen noch einwandfrei sind.

3. Veraltete Software

Prüfen Sie, ob auf Ihren Servern die neuesten Versionen der Betriebssysteme, Content-Management-Systeme, Blogging-Plattformen, Anwendungen, Plug-ins usw. installiert sind.

  • Untersuchen Sie – zum Beispiel mittels einer Websuche –, ob irgendeine Sicherheitswarnung für die jeweils installierte Version dieser Anwendungen vorliegt. Falls ja, ist es wahrscheinlich, dass veraltete Software für die Sicherheitslücke auf Ihrer Website verantwortlich ist.
  • Sie sollten die Software Ihrer Server stets auf dem neuesten Stand halten – unabhängig davon, ob veraltete Software im aktuellen Fall wirklich zu einer Sicherheitslücke geführt hat.

4. Missbrauchsanfällige Kodierungspraktiken – offene Weiterleitungen und SQL-Einschleusungen

  • Offene Weiterleitungen
  • Offene Weiterleitungen bieten die Möglichkeit, der URL-Struktur eine weitere URL hinzuzufügen, damit Nutzer eine hilfreiche Seite oder Datei auf der Website abrufen können. Beispiel:

    http://example.com/page.php?url=http://example.com/good-file.pdf
    Hacker können offene Weiterleitungen missbrauchen, indem sie ihre Spam- oder Malware-Seiten dort einfügen. Beispiel:
    http://example.com/page.php?url=<malware-attack-site>

    • Falls Ihre Website unter Verwendung offener Weiterleitungen gehackt wurde, haben Sie vielleicht festgestellt, dass die Nachricht in der Search Console bestimmte Beispiel-URLs enthält, die offene Weiterleitungen zu unerwünschten Zielen umfassen.
    • Um dieses Problem in Zukunft zu vermeiden sollten Sie prüfen, ob "Offene Weiterleitungen zulassen" standardmäßig in Ihrer Software aktiviert ist, ob Weiterleitungen außerhalb der Domain in Ihrem Code unterbunden werden können oder ob Sie Weiterleitungen signieren können, damit nur Weiterleitungen mit ordnungsgemäß gehashten URLs und der kryptografischen Signatur funktionieren.
  • SQL-Einschleusungen
  • SQL-Einschleusungen treten auf, wenn ein Hacker schädliche Befehle in Nutzereingabefelder einfügen kann, die von Ihrer Datenbank ausgeführt werden. Mit SQL-Einschleusungen werden Spam bzw. Malware-Inhalte in Ihrer Datenbank eingefügt oder wertvolle Daten für den Hacker erfasst. Falls Ihre Website auf eine Datenbank zugreift, und insbesondere falls eine Malfare-Infektion vom Typ SQL-Einschleusung vorlag, wurde die Website möglicherweise durch eine SQL-Einschleusung manipuliert.

    • Melden Sie sich im Datenbankserver an und suchen Sie verdächtige Inhalte in der Datenbank – zum Beispiel einfache Textfelder, die jetzt plötzlich iFrames oder Skripts aufweisen.
    • Prüfen Sie bei verdächtigen Werten, ob die Nutzereingaben validiert und richtig ausgegeben oder eventuell stark typisiert werden, sodass sie nicht als Code ausführbar sind. Falls die Nutzereingaben nicht vor der Datenbankverarbeitung geprüft werden, können SQL-Einschleusungen eine grundlegende Sicherheitslücke auf Ihrer Website verursachen.

Nächster Schritt

Der nächste Schritt im Verfahren ist: Website bereinigen und instand halten.