Eine gehackte/kompromittierte Website ist eine potentielle Gefahr für den Domaineigner/Inhaber und für Dritte.
Hier ist eine schnelle und effektive Reaktion notwendig!
1. Website deaktivieren
warum?
Eine gehackte Seite kann eigene Schäden und Schäden bei Dritten verursachen. Z.B. durch Phishingscripte, Spams, illegale Downloads usw. Der Domaineigentümer wäre für derlei Schäden haftbar. Schadensminimierung ist somit erste Pflicht! Außerdem muss der Zustand der Seite "eingefroren" werden, damit die Daten störungsfrei untersucht werden können.
wie?
- Beste Möglichkeit: Passwortschutz setzen (.htaccess)
- oder Basisverzeichnis unbenennen
- notfalls alle Daten herunterladen und vom Server löschen
warum?
Es muss die ausgenutzte Sicherheitslücke und der Zeitpunkt des Angriffs gefunden werden, damit geklärt ist welche Sicherung verwendet werden kann und wie die Lücke entfernt werden kann.
Ohne diese Erkennung und Beseitigung wird ein typischer Angreifer (oft automatisiert) immer wieder kommen.
wie?
- Zeitstempel veränderter Dateien ermitteln
- Web-Server-Logs und FTP-Server-Logs untersuchen
3. Daten löschen, saubere Sicherung laden, Passwörter ändern
warum?
Angreifer hinterlassen fast immer Backdoor-Scripte, über die sie dann später jederzeit die Kontrolle über den Webspace bekommen ohne das es neue Sicherheitslücken geben muss. Dies sind oft sogenannte Shell-Scripte, die sich unter beliebigen Dateinamen in beliebigen Verzeichnissen befinden können. Diese zu finden ist sehr aufwendig! Deswegen sollten alle Dateien und alle Datenbankinhalte gelöscht werden und erst dann eine saubere Sicherung (zeitlich vor dem Angriff) zurückgespielt werden.
Vor dem Zurücksichern alle FTP-Passwörter neu setzen!
Nach dem Zurücksichern alle Joomla!-Passwörter der Superadmins ändern!
wie?
- FTP-Passwort mit Hilfe der der Webhosting-Verwaltung ändern.
- Dateien per FTP löschen und Sicherung per FTP hochladen.
- Datenbankinhalt per phpMyAdmin löschen und Sicherungsdump importieren.
- Im Joomla!-Backend alle Superadmin-Accounts und deren Emailadressen prüfen und Passwörter ändern!
Sollte das der Fall sein, müssen alle Aktivitäten des Angreifers exakt anhand der Logs untersucht werden, damit man tatsächlich alle benutzten/erzeugten Dateien findet und entfernen kann.
4. Lücke schließen, Seite wieder freigeben
warum?
Das Schließen/Entfernen der Lücke ist aus Gründen der Schadensminimierung eine Zwangsvorgabe und muss wohl nicht näher begründet werden...
Erst nach Schließung der Lücke darf eine Seite wieder frei gegeben werden.
wie?
Welche Lücke geschlossen werden muss, hängt von den Ergebnissen aus Punkt 3) ab. Meistens handelt es sich um veraltete Scripte, die geupdated werden müssen. Hinweise auf Lücken und verfügbare Updates findet man in der Joomla!-Community (z.B. hier oder hier)
Lesen Sie hier, was Sie bezüglich der Sicherheit eines Joomla! beachten sollten!
Quelle: www.fc-hosting.de
Service für Kunden bei www.fc-hosting.de:
Wenn Sie ein Problem mit einem kompromittierten Joomla! dort haben, melden Sie sich dort umgehend. Dort wird auf Wunsch alle oben genannten Schritten für Sie durchgeführt! Weitere Hilfen finden Sie hier.
Dieser Artikel ist vom Autor zur Verwendung unter www.joomla-tutorials.de freigegeben. Eine Verwendung auf anderen Webseiten ist nur mit Erlaubnis des Autors gestattet!
Autor: flotte Webseite: www.fc-hosting.de
