Da es mehrere unabhängige Hacks geben kann, empfehlen wir, auch dann weiter nach anderen zu suchen, wenn Sie eine Sicherheitslücke finden und beheben können. Informieren Sie sich zuerst über die häufigsten Methoden, mit denen Websites von Spammern gehackt werden.
Sie benötigen dazu Folgendes:
- Shell- oder Terminaladministratorzugriff auf die Server Ihrer Website: Web, Datenbank und Dateien
- Kenntnisse von Shell- oder Terminalbefehlen
- Codekenntnisse (z. B. PHP oder JavaScript)
- Die Möglichkeit, zwei Antiviren-Scanner auszuführen
Nächste Aktionen
Hier besprechen wir mehrere gängige Möglichkeiten, wie eine Website manipuliert werden kann. Hoffentlich trifft eine dieser Fragen entweder auf Ihre Website zu oder gibt zumindest Aufschluss über weitere Möglichkeiten.
Beachten Sie, dass sich Sicherheitslücken-Scanner von Antivirenscannern unterscheiden. Vulnerability Scanner können weitaus mehr in die Privatsphäre eingreifen und ein größeres Risiko darstellen, Ihre Website zu schädigen. Folgen Sie allen Anweisungen, z. B. zum Sichern Ihrer Website, bevor Sie den Scanner ausführen.
Potenzielle Sicherheitslücken {potential-vulnerabilities}
Zu den potenziellen, zu untersuchenden Sicherheitslücken gehören:
Mit Viren infizierter Administratorcomputer
Auf einem mit Viren infizierten Computer eines Administrators hat der Hacker möglicherweise Spyware installiert, um die Tastatureingaben des Website-Administrators aufzuzeichnen.
- Prüfen Sie das Administratorsystem auf Viren. Wir empfehlen, auf jedem Computer, mit dem sich ein Administrator auf der Website angemeldet hat, mehrere vertrauenswürdige Antiviren-Scanner (AV-Scanner) auszuführen. Da ständig neue Malware entwickelt wird, um den Scanner zu umgehen, ist dies keine sichere Methode zur Virenerkennung. Die Ausführung mehrerer Scanner hilft, falsch positive Ergebnisse zu vermeiden, und bietet mehr Datenpunkte, um festzustellen, ob eine Sicherheitslücke vorliegt. Zur Sicherheit sollten Sie sowohl Ihren Webserver als auch alle Geräte scannen, die zum Aktualisieren oder Posten auf der Website verwendet werden.
- Wenn der AV-Scanner Spyware, einen Virus, ein Trojaner oder ein anderes verdächtiges Programm erkennt, prüfen Sie die Serverprotokolle der Website auf Aktivitäten des Administrators, dem der infizierte Computer gehört.
- Möglicherweise hat der Hacker die Protokolldateien verändert. Ist dies nicht der Fall, ist die Korrelation des Nutzernamens des Administrators mit verdächtigen Befehlen in der Protokolldatei ein weiterer Hinweis darauf, dass die Website durch einen Virus auf dem System eines Administrators angreifbar wurde.
Schwache oder wiederverwendete Passwörter
Schwache Passwörter sind von Hackern leicht zu finden und bieten ihnen direkten Zugriff auf Ihren Server. Starke Passwörter bestehen aus einer Kombination aus Buchstaben und Zahlen, Satzzeichen und keinen Wörtern oder Slang, die in einem Wörterbuch zu finden sind. Passwörter dürfen nur für eine Anwendung verwendet und nicht im gesamten Web wiederverwendet werden. Wenn Passwörter wiederverwendet werden, reicht ein Sicherheitsverstoß bei einer Anwendung, bis ein Hacker einen Log-in und ein Passwort findet, das er an anderer Stelle verwenden kann.
Prüfen Sie das Serverprotokoll auf unerwünschte Aktivitäten, z. B. mehrere Anmeldeversuche eines Administrators oder unerwartete Befehle. Notieren Sie sich, wann die verdächtige Aktivität aufgetreten ist, denn wenn Sie wissen, wann der Hack zum ersten Mal stattgefunden hat, können Sie bestimmen, welche Sicherungen noch sauber sein könnten.
Veraltete Software
Prüfen Sie, ob auf Ihren Servern die neueste Version des Betriebssystems, des Content-Management-Systems, der Blogging-Plattform, Anwendungen, Plug-ins und sonstige von der Website verwendete Software installiert ist.
- Untersuchen Sie alle installierte Software (z. B. durch eine Websuche), um festzustellen, ob Ihre Version Sicherheitshinweise enthält. Ist dies der Fall, ist Ihre Website wahrscheinlich durch veraltete Software angreifbar.
- Es hat sich bewährt, die Software Ihrer Server immer auf dem neuesten Stand zu halten, unabhängig davon, ob veraltete Software diese Sicherheitslücken verursacht.
4. Missbrauchsanfällige Kodierungspraktiken – offene Weiterleitungen und SQL-Einschleusungen
Offene Weiterleitungen
Offene Weiterleitungen werden mit der Absicht codiert, dass die URL-Struktur das Hinzufügen einer weiteren URL ermöglicht, damit Nutzer eine nützliche Datei oder Seite auf der Website erreichen können. Beispiel:
http://example.com/page.php?url=http://example.com/good-file.pdf
oder
http://example.com/page.php?url=malware-attack-site>
- Wenn Ihre Website für offene Weiterleitungen missbraucht wurde, haben Sie wahrscheinlich bemerkt, dass die Nachricht in der Search Console Beispiel-URLs mit offenen Weiterleitungen zu einem unerwünschten Ziel enthielt.
- Prüfen Sie Folgendes, um offene Weiterleitungen in Zukunft zu verhindern:
- Gibt an, ob „Offene Weiterleitungen zulassen“ in Ihrer Software standardmäßig aktiviert ist.
- Ob mit Ihrem Code Weiterleitungen außerhalb der Domain verhindert werden können.
- Ob Sie die Weiterleitung signieren können, sodass nur Weiterleitungen mit korrekt gehashten URLs und der richtigen kryptografischen Signatur fortgesetzt werden können.
SQL-Einschleusungen
SQL-Injections treten auf, wenn ein Hacker betrügerische Befehle zu Nutzereingabefeldern hinzufügen kann, die Ihre Datenbank ausführt. SQL-Injections aktualisieren Einträge in Ihrer Datenbank mit unerwünschten Spam- oder Malware-Inhalten oder geben wertvolle Daten für den Hacker aus. Wenn Ihre Website eine Datenbank verwendet und sie mit Malware infiziert war, ist es möglich, dass sie durch eine SQL-Einschleusung manipuliert wurde.
- Melden Sie sich auf dem Datenbankserver an und suchen Sie nach verdächtigen Inhalten in der Datenbank, z. B. nach gewöhnlichen Textfeldern, in denen jetzt iFrames oder Skripts angezeigt werden.
- Prüfen Sie bei verdächtigen Werten, ob die Nutzereingabe validiert und ordnungsgemäß mit Escape-Zeichen versehen ist oder möglicherweise stark typisiert ist, damit sie nicht als Code ausgeführt werden können. Wenn die Nutzereingabe vor der Datenbankverarbeitung nicht überprüft wird, kann eine SQL-Einschleusung eine Ursache für eine Sicherheitslücke auf Ihrer Website sein.