Woran erkenne ich, dass meine Webseite gehackt wurde?

Wenn Sie Ihre Internet Seite besuchen und eine Viren-Meldung erhalten oder eine Seite sehen, die Sie in dieser Form nicht hochgeladen haben, dann liegt das höchstwahrscheinlich daran, dass sich Fremde Zugang zu Ihrer Seite verschafft haben.

Es gibt zwei unterschiedliche Verfahrensweisen, die wir an dieser Stelle besprechen.

Als Defacing wird im Hacker Jargon das Ersetzen der "Opferseite" mit einer eigenen Seite bezeichnet. Auf dieser neuen Seite steht meist ein kurzer, für Normalsterbliche unverständlicher Text und ein Gruß an die Mitglieder der Gruppe.

Das Defacing ähnelt in seinem Wesen dem Graffiti in digitaler Form und kann politisch motiviert sein bzw. sich gegen den Inhalt der ursprünglichen Seite richten.



Beim Defacing wird die ursprüngliche index.html durch eine neue Seite ersetzt.

Hierbei wird die alte Seite nicht zwangsläufig gelöscht sondern z. B. in index.001 umbenannt. Nicht kommerziell betriebene Seiten sind sehr selten Opfer dieses Angriffs, da es den Hackern darum geht, möglichst viel Anerkennung zu erhalten.

Beim Hijacking wird eine weitere Seite im Hintergrund geöffnet, die mit Schadsoftware verseucht ist und somit möglichst viele Besucher infizieren soll. Oftmals kann man dies erst dann erkennen, wenn ein Viren-Scanner Alarm schlägt und auf den Virus aufmerksam macht. Hier ist höchste Vorsicht geboten, da viele der heute im Umlauf befindlichen Viren erheblichen Schaden anrichten können und Ihren Rechner möglicherweise für spätere Angriffe als Zombie-Rechner verwenden.



Beim Hijacking wird die Internet-Seite nicht zwangsläufig durch eine neuere Seite ersetzt, sondern es wird zusätzlicher Code zur  hinzugefügt. Dieser Code lässt in einem IFRAME die Seite mit der Schadsoftware nachladen. Ziel dieser böswilligen Veränderung ist die massenhafte Verbreitung von Viren/Trojanern.
Hijacking wird daher vorrangig bei privaten Webseiten eingesetzt, da der Aufwand hierfür wesentlich geringer ist, als für kommerziell betriebene Webseiten.

Bei beiden Verfahren werden bekannte Sicherheitslücken in Software oder unsichere Passwörter ausgenutzt, um so Zugang zu Ihrer Webseite zu erlangen.

Die überwältigende Anzahl von Übergriffen gelingt durch unsichere FTP Passwörter bzw. sogenanntes PHP-Inject, bei dem Code in das PHP Skript eingefügt werden kann.

Beachten Sie folgende Sicherheitshinweise, um das Risiko eines erfolgreichen Übergriffs so gering wie möglich zu halten:

• Verwenden Sie ausschließlich Passwörter, die in keinem Wörterbuch vorkommen.
• Variieren Sie Groß- und Kleinschreibung und verwenden Sie häufig Zahlen. z. B.: x9MD3d8IwA
• Die Zeichenlänge sollte mindestens 5 Zeichen betragen (besser: 12 Zeichen)
• Ändern Sie in regelmäßigen Abständen Ihre Passwörter
• Speichern Sie Ihre Passwörter niemals auf dem Computer sondern bewahren Sie diese an einem sicheren Ort auf (Tresor, Geldkassette).
• Falls Sie doch schnellen Zugriff auf Ihre Passwörter benötigen, verwenden Sie einen digitalen Passwort Tresor, wie z. B. das Open-Source Programm Keepass, mit dem Sie auch Passwörter über einen komplexen Algorithmus generieren können
• Geben Sie Passwörter niemals an Personen weiter, denen Sie nicht absolut vertrauen
• Verwenden Sie immer die aktuellste PHP Version bzw. seien Sie vorsichtig bei PHP.ini Änderungen
• Mit dem STRATO SiteGuard können Sie darüber informiert werden, dass ein Script versucht hat, auf Ihren Webspace zuzugreifen oder Daten abzulegen. Sie können mit SiteGuard ebenfalls verhindern, dass Scripte in Ihre Verzeichnisse schreiben (Mehr Informationen zum SiteGuard finden Sie hier.)

Allgemeine Sicherheitshinweise:

• Installieren Sie ein Anti-Virus Programm und eine Firewall
• Updaten Sie regelmäßig Ihr Betriebssystem und Internet-Browser (z. B. Firefox)
• Vertrauen Sie Ihrem gesunden Menschenverstand

Sollte Ihre Webseite gehackt worden sein, haben Sie mit dem STRATO BackupControl die Möglichkeit, eine ältere Sicherheitskopie Ihrer Webseite wieder einzuspielen. Ändern Sie zusätzlich bitte Ihre FTP-Passwörter und Ihr Master/Paketpasswort.