Gehackte Website
Diese Seite erklärt, was eine gehackte Website ist, wie es dazu kommt und welche Auswirklungen das hat.
Was ist eine gehackte Website?
Hacker sind Internet-Nutzer, die sich im Einzelfall oder auch massenweise mit entsprechender Software Kontrolle verschaffen über EDV-Anlagen, zu denen sie eigentlich keinen Zutritt haben sollten. Bezogen auf Websites bedeutet dies im Allgemeinen, dass jemand anderes Inhalte oder Dateien von Ihrer Website verändern konnte.
Wie kommt es dazu?
Heutige Websites werden meistens mit einem so genannten CMS ("content management system") betrieben. Dabei läuft auf dem Server ein Programm, das bei jedem Zugriff entscheidet, wer welche Inhalte abrufen möchte, diese Inhalte dann z.B. aus einer Datenbank ausliest und dem Besucher mitteilt. Durch eine Anmelde-Möglichkeit kann der Inhaber dann auch Inhalte verändern oder neue Einzelseiten erstellen.
Im einfachsten Angriff wäre es denkbar, dass ein Dritter Ihr Anmelde-Passwort erraten oder abgreifen kann und damit selbst Inhalte verändern kann.
Diese Software eines CMS ist aber auch sehr komplex, so dass sich bei allen bekannten CMS immer wieder Programmierfehler zeigen. In manchen Fällen kann man unerwartete und eigentlich ungültige Daten zur Website senden, was dann z.B. einen Programmteil zum Absturz bringt und den Zugriff ohne Passwort freigibt. In anderen Fällen kann man etwa in einer Kommentarfunktion eine Datei hochladen, die ebenfalls unerwartete, präparierte Daten enthält. Die genaue Art des jeweiligen Fehlers ist jedes Mal unterschiedlich, aber es gibt grenzenlos viele Möglichkeiten.
Sobald ein Angreifer irgendwelche Dateien auf die Festplatte des Servers ablegen konnte, besteht die Gefahr, dass diese Dateien selbst als Teil des CMS behandelt werden und als Programmcode ausgeführt werden. In einem solchen Fall kann der Angreifer dann beliebige Befehle unter Ihrem Namen ausführen. Meistens ist dies kombiniert mit einer Funktion, diese Befehle von außen einzuspielen. Dies ist die häufigste Angriffsart.
Welche Auswirkungen hat eine gehackte Website?
Wenn ein Angreifer den Status erreicht hat, direkt auf dem Server beliebige Befehle unter Ihrem Namen auszuführen, gibt es meistens zwei Dinge, die daraufhin passieren:
- Es werden von dort aus andere Websites angegriffen. Da die Angriffe meist automatisch ablaufen, geschieht dies in hoher Geschwindigkeit. Wenn eine Website bei uns von einem solchen Hack betroffen ist, erhalten wir meistens Beschwerden von anderen Administratoren, dass von unseren Anlagen Hackerangriffe ausgeführt werden. Im Extremfall wird dann unser Server im Rechenzentrum vom Netz genommen um weitere Angriffe zu verhindern.
- Es wird Spam versendet. Nach wie vor ist das vorherrschende Ziel aus Sicht der Hacker der Versand von Massenmails, was der Hacker als Dienstleistung verkauft. So können alleine in einer Stunde ca. 50.000 E-Mails versendet werden. Diese E-Mails werden dann von anderen Administratoren als Spam erkannt und wenn sich mehrere solcher Mails zu unserem Server zurück verfolgen lassen, dann wird die Mailannahme von unseren Anlagen komplett gesperrt. Es gibt im Internet so genannte "Black lists", also Listen von Servern die Spam-Mails versenden. Es duert meistens nur wenigen Minuten bis unsere Adressen auf einer solchen Liste erscheinen und dann werden plötzlich auch keinerlei normale Mails mehr zugestellt.
Wie gehen wir damit um?
Für uns und unsere Kunden ist es daher wichtig, bereits bei allerersten Anzeichen für eine gehackte Website einzugreifen. Ist eine Website betroffen, dann sperren wir umgehend den Zugriff au diese Website um weitere Aktivitäten zu verhindern.
Wir haben mehrere automatische Überwachungen, die einen solchen Fall erkennen können und uns bei Bedarf sofort alarmieren.
Wie kann man dies vermeiden?
In den meisten Fällen verschaffen sich Angreifer Zugriff über vorher bekannte Sicherheitsprobleme. Immer wenn eine neue Version einer CMS-Software erscheint, lässt sich sehr einfach nachprüfen welche Änderungen von den Autoren vorgenommen wurden. Wurde ein Sicherheitsproblem behoben, dann lässt sich daraus ableiten, dass alle noch laufenden alten Versionen genau dieses Problem haben und damit angreifbar sind.
Die wirksamste Methode um einen Angriff zu verhindern ist also das Einspielen von Updates schnellstmöglich nach Erscheinen einer neuen Version des betreffenden CMS. Wir beobachten gelegentlich Angriffe, die schon wenige Stunden nach Freigabe einer neuen Version massenweise ausgeführt wurden.