Bin ich infiziert?

Es gibt eine Reihe von Anzeichen dafür, dass Ihre Website infiziert ist oder gar gehackt wurde.1. Ein untrügliches Zeichen ist unbekannter Code auf Ihren HTML-Seiten. Meistens handelt es sich dabei um unsichtbare oder kleine iFrames oder Javascript-Code.2. Ihr Integritätsscanner teilt Ihnen mit, dass die Seite verändert wurde, Sie haben aber keine Änderungen vorgenommen.3. Ihr Intrusion Detection/Intrusion Prevention System (IDS/IPS) weist Sie darauf hin, dass versucht wurde, Ihre Seiten zu hacken, aber der Angriff erfolglos war. Höchstwahrscheinlich testet dann gerade jemand Ihr System und unter Umständen haben bereits Attacken das IDS/IPS durchdrungen.4. Auf Ihren Seiten findet ungewöhnlich starke Aktivität statt (etwa plötzlich ansteigender Traffic).5. Sie bekommen Rückmeldung von anderen Systemen: Nehmen Sie Feedback von Besuchern und anderen Website-Betreibern ernst und überprüfen Sie regelmäßig, ob sich andere Websites über von Ihnen kommenden Schadtraffic beschweren.6. Meistens befällt Malware die Startseite. Ein Indiz, dass Ihre Website zu 99,99 Prozent infiziert ist: Im HTML-Code Ihrer Startseite finden Sie ein unbekanntes Javascript oder iFrame-Tag, das eine Seite von einer chinesischen Website herunterlädt.7. In Logfiles (etwa FTP-Logs) finden Sie erfolgreiche Logins auf Ihre Administrations- Konsole von verdächtigen oder Ihnen unbekannten IPs.

Und es ist doch passiert...

Wenn es dennoch passiert, gibt es leider kein allgemeingültiges Rezept, wie Sie Ihr System von Schadsoftware befreien. Einige grundlegende Empfehlungen haben wir dennoch für Sie:

• Lassen Sie einen Anti-Virus- (auf Windows- Systemen) oder Anti-Rootkit- (auf Unix-Systemen) Scanner bei maximaler Untersuchungsintensität über den Inhalt Ihrer Website laufen. Es kann sein, dass der Scanner die Infektion nur identifizieren kann, aber aufgrund der Betriebssystemarchitektur das System nicht reinigen kann. Dann hilft Folgendes:
• Informieren Sie sich über den erkannten Virus, um seine Eigenheiten kennenzulernen. Dazu bieten sich die Beschreibungen in öffentlichen Datenbanken wie die Kaspersky Virus Enzyklopädie (www.viruslist.de ) an. Anschließend können Sie das System manuell reinigen.
• Suchen Sie nach Spuren der Malware und befallenen Bereichen. Eine große Hilfe ist dabei eine Integritätskontroll-Funktion, die Ihnen anzeigt, welche Dateien wann modifiziert wurden (etwa www.tripwire.org ). So müssen Sie nicht alle Dateien einzeln manuell auf der Suche nach Schadcode durchsehen. Alternativ können Sie natürlich die Integritätsprüfungswerkzeuge Ihres CMS verwenden - so es denn welche hat. Es ist also durchaus sinnvoll, schon bei der Auswahl des CMS darauf zu achten, dass solche Werkzeuge integriert sind.

Der Autor

Infizierte Dateien müssen selbstverständlich ersetzt werden. Dafür gibt es zwei Möglichkeiten: uninfizierte Dateien aus dem Backup wiederherstellen oder die Dateien per Hand von den schädlichen Codezeilen befreien. Letzteres kann allerdings enorm viel Zeit in Anspruch nehmen, da der Code per Zufall über die Homepage verteilt sein kann. Eine Backdoor kann zum Beispiel in ein Skript integriert werden: Die variable Funktion $a($b) in PHP kann als xxx.php?a=system&b=ls ausgenutzt werden.xxx.php ist dabei die Datei, welche die Backdoor enthält und die Backdoor ermöglicht die Ausführung beliebigen Codes im System. Die Variable kann nach Belieben benannt werden, weshalb signaturbasierte Anti-Virus Scanner hier nutzlos sind. Absolute Sicherheit gibt es leider nicht. Dennoch kann man mit diesen einfachen Maßnahmen möglichen Angreifern das Leben schwer machen. In den meisten Fällen sollte es reichen, die bekannten Lücken so schnell wie möglich zu schließen und das System immer aktuell zu halten.Und wenn doch etwas passiert: Bleiben Sie ruhig, säubern Sie das System und holen Sie sich notfalls externe Hilfe. Denn eine gehackte Website oder eine Website, die Schadsoftware verteilt, kann Ihr Image dauerhaft schädigen.

Cross Site Scripting

Um eine Attacke per Cross Site Scripting (XSS) zu verhindern, müssen Sie die <, >, & und " Symbole durch ihre jeweiligen HTMLCodes ersetzen, ehe sie den Benutzern dargestellt werden. Bei der Darstellung von Nutzerdaten innerhalb von Tag-Parametern sollten Sie unbedingt " verwenden.Ein Beispiel:

sollte durch

ersetzt werden.Wenn ein Wert, der vom Nutzer beeinflusst werden kann, am Beginn eines SRC- oder HREF-Parameters dargestellt wird, sollten Sie darauf achten, dass der Wert nicht mit javascript:, vbscript: oder data: beginnt. Der Code

ist zum Beispiel potenziell gefährlich.