uppercase design
Webdesign, Grafik, Fotografie, Datenbanken — Göttingen / Heidelberg

In aller Kürze:
Nehmen Sie die Webseite offline, analysieren, bereinigen und reparieren Sie die Systemdateien. Führen Sie ein Update des Systems und aller Erweiterungen durch, ändern Sie alle Zugangs-Passwörter und erhöhen Sie zuletzt noch die Sicherheitsvorkehrungen maßgeblich. Nun kann Ihre Seite wieder online gehen.

Allerdings:
Machen Sie das nicht oder reparieren Ihre Internetseite nur notdürftig so, dass sie vermeintlich gerade wieder läuft, dann bleibt ihre Seite mit großer Wahrscheinlichkeit eine ferngesteuerte Zombie-Installation, die ohne Ihr Wissen munter Schadcode im Internet verbreitet.

Wir helfen Ihnen:
Mit unserer Erfahrung und unseren Tools FileInspector und FI-App, welche wir speziell zur Analyse und Bereinigung kompromittierter Internetseiten und Content-Management-Systeme (CMS), wie z.B. Joomla und Wordpress, entwickelt haben.

FileInspector:
Unser FileInspector ist ein Offline-Tool zur eingehenden Analyse und Bereinigung kompro­mit­tier­ter CMS. Er arbeitet mit mehreren Analysemethoden, diese beruhen u.a. auf einem Vergleich der Dateistruktur des kompro­mit­tierten CMS gegen eine intakte Installation desselben CMS. Eine andere Methode des FileInspectors führt eine Suchmusteranalyse über alle Dateien einer CMS-Installation nach bekanntem Schadcode durch. Der FileInspector findet Schadcode-Dateien, die bei Angriffen ins CMS injiziert wurden und auch Dateien des Joomla-Kerns und von Erweiterungen, die bei einem Angriff verändert wurden (siehe Abschnitt Die Bedrohung steigt ).

FI-App:
Unsere Webapplikation FI-App (FileInspector-App) ist ein Online-Frühwarnsystem. Es durchsucht alle Dateien einer CMS-Installation direkt auf dem Server und findet Schadcode und Schadcode-Dateien, die bei Angriffen ins CMS injiziert wurden (siehe Abschnitt Die Bedrohung steigt ). Im automatischen Modus schlägt FI-App im Fall eines Fundes per E-Mail Alarm beim Sicher­heits­verant­wort­lichen der Seite und sendet den Befund gleich mit. Auf diese Weise ermöglicht FI-App eine optimale Incident Response Time. FI-App kann auch manuell über eine HTML-Oberfläche gestartet werden.

Unsere Erfahrung:
In unsere Werkzeuge fließt kontinuierlich unsere Erfahrung ein, die wir durch die Analyse und Bereinigung kompromittierter Internetseiten sammeln. Auf diese Weise finden wir weit mehr, als im unten verlinkten Beitrag zur Verbreitung von TeslaCrypt angegeben ist. Auch namhafte Internet-Hoster durchsuchen CMS-Installationen ihrer Kunden nach Schadcode. Aufgrund unserer systematischen und aufwändigen Analyse finden wir Schadcode dennoch signifikant zuverlässiger.

Unsere präventiven Maßnahmen orientieren sich an bekannten Angriffs-Mustern und schützen in deutlich überdurchschnittlichem Maß gegen Angriffe. Unsere Analyse-Tools arbeiten auf Grundlage bekannten Schadcodes.

Eine hundertprozentige Erfolgsgarantie im Hinblick auf eine absolute Immunität Ihrer Seite gegen zukünftige Angriffe und für das Auffinden von Schadcode in einer zuvor kompromittierten CMS-Installation können wir aus rechtlichen Gründen allerdings nicht geben.

Nicht in unserem Einflussbereich liegen darüber hinaus Fehler (Bugs) im Programmcode des CMS selbst und in der den CMS zugrunde liegenden Skriptsprachen, wie z.B. PHP oder JavaScript.

Falsch! Denn fast alle Angriffe auf eine Internetseite sind überhaupt nicht persönlich gemeint. Hinter ihnen steckt nicht mal ein Mensch: Nahezu alle Angriffe werden vollautomatisch von Hackersoftware ausgeführt, einem sogenannten Exploit. Der Angriff wird dabei gleichzeitig von tausenden Rechnern — einem Botnet — gegen eine Vielzahl von Internetseiten gestartet. Ein Botnet besteht aus sehr vielen Rechnern, die ihrerseits zuvor gehackt wurden und nun von einem sogenannten command and control-Server aus ferngesteuert werden.

Zur Veranschaulichung der Dimension ein konkretes Beispiel aus unserem Alltag als Internetdienstleister: Im Februar 2016 erfolgte auf einige von uns betreute CMS-Installationen ein Brute-Force-Angriff in einer Frequenz von 80 Angriffen je Minute im 12-stündigen Zeitraum des Maximums.

Das Ziel dieser Angriffe sind dabei nicht etwa Informationen, die auf Ihrem Serverplatz gespeichert sind. Sondern es geht vielmehr darum, Ihren Serverplatz zu kapern, um darauf Schadsoftware zu installieren. Gelingt dies, wird Ihr Serverplatz selbst Teil eines Botnets oder zur Spam-Mail-Schleuder. Nichtsahnende Besucher Ihrer Seite könnten sich Erpressungs-Malware (Ransomware) — wie z.B. Locky — einfangen. Eher schon eine veraltete Art und Weise wäre es, Ihren Serverplatz als Umleitungsstation zur Verschleierung von Aufrufen illegaler Webseiten oder anderen kriminellen Machenschaften im Internet zu benutzen.

Im Untergrund des Internets (Darknet) werden Botnets und Exploit-Kits „zur Miete“ angeboten, die es auch technisch völlig Unbedarften ermöglichen, ihren illegalen Tätigkeiten nachzugehen. Wer wissen möchte, wie dieses Geschäftsmodell — auch technisch — funktioniert, kann dies im Artikel „Einbruch mit Komfort“ der Fachzeitschrift c’t erfahren.

Sie sehen: Die Annahme, die eigene Internetseite sei zu uninteressant für einen Angriff, verleitet zu fahrlässigen und fatalen Versäumnissen im Hinblick auf die unbedingt notwendigen Sicherheitsvorkehrungen. Denn jeder im Internet erreichbare Server – egal ob von einem Brieftaubenverein oder einem internationalen Konzern – wird automatisiert angegriffen.
Dies ist die traurige Situation, die wir auf Grundlage eigener Erfahrungen konstatieren müssen.

Exploit-Kits fahren ihre Angriffe i.d.R. automatisiert über Botnets gegen viele tausende auf Webservern installierte CMS. Dabei nutzen sie oft sogenannte zero-day-Lücken der CMS-Software aus. Das sind Sicherheitslücken, gegen die noch keine Updates zur Verfügung stehen. Deshalb können wir gar nicht genug betonen, dass es sehr wichtig ist, Updates schnellstmöglich nach ihrem Erscheinen zu installieren. Ein CMS ist im Internet nonstop angreifbar, es steht unter Dauerfeuer. Die leider bei Seiten-Administratoren immer noch häufig anzutreffende Haltung „install and forget“ hat inzwischen zu unzähligen ferngesteuerten Zombie-CMS geführt, die ohne Kenntnis ihrer vermeintlichen Besitzer durchs Internet marodieren.

An einem weiteren konkreten Beispiel möchten wir die Folgen eines Angriffs auf verwundbare CMS-Installationen aufzeigen und außerdem deutlich machen, dass dadurch viele andere Rechner in Gefahr geraten. Grundsätzlich sind alle CMS betroffen, so ist Wordpress das derzeit mit Abstand beliebteste Angriffsziel.

Kurz vor Weihnachten 2015 startete eine bis dato beispiellose Angriffswelle gegen joomla-Installationen, die sich gezielt eine zero-day-Lücke zunutze machte. Hektisch wurden vom Joomla-Team innerhalb weniger Tage drei Updates hintereinander veröffentlicht, bis die Lücke endgültig geflickt war. Doch da war es für sehr viele Installationen schon zu spät. Das LKA Niedersachsen ermittelte im Februar 2016, dass die damals akute Verbreitungswelle der Erpressung-Malware TeslaCrypt auch über etliche der zuvor gehackten joomla-Installationen an Besucher dieser Internetseiten lief.

Wir haben den Angriff auf Joomla von Weihnachten 2015 genauer analysiert. Es zeigte sich, dass Schadcode teilweise in Dateien injiziert wurde, die regulärer Bestandteil des CMS-Kerns oder von Erweiterungen sind. Auch neu eingeschleuste Schadcode-Dateien haben wir identifiziert. Viele von ihnen versuchen sich dadurch zu tarnen, dass sie dieselben Namen besitzen wie legitime Dateien innerhalb der CMS-Ordnerstruktur.

Für eine Bereinigung ist es keineswegs ausreichend, nach Dateien mit unbekanntem Namen zu suchen. Ganz abgesehen davon, dass es ein aussichtsloses Unterfangen wäre, in vielen (Unter-) Ordnern und vielen tausend Dateien den Schadcode durch Augenscheinnahme finden zu wollen.

Auch das Installieren aktueller Updates für ein CMS selbst und für alle installierten Erweiterungen beseitigt oft nicht den injizierten Schadcode, wie im oben verlinkten Beitrag zur Verbreitung von TeslaCrypt bestätigt wird.

Der Schadcode hat zur Folge, dass das kompromittierte CMS mit zwei verschiedenen grundlegenden Methoden ausgenutzt werden kann:

1. Es wird eine Hintertür eingebaut, über die der Angreifer jederzeit Vollzugriff auf die Dateistruktur des CMS auf dem Server hat. So kann er eine sogenannte Payload, also z.B. ein Paket Erpressungs-Malware, auf den Server hochladen und die Dateien des CMS so manipulieren, dass Rechner von Seitenbesuchern damit infiziert werden.
2. Dateien des CMS werden auf eine Weise manipuliert, dass in die übliche HTML-Ausgabe, die das CMS generiert, eine beliebige Weiterleitung auf eine andere Internetadresse injiziert wird. Oft geht es von dort über weitere Umleitungen letzten Endes auf eine bösartige Seite. Diese Weiterleitungen sind unsichtbar, sie werden in versteckten iFrames ausgeführt — klassisches Cross-Site-Scripting.

Da wie eben aufgezeigt viele gehackte Seiten zwar auf den aktuellen Stand aktualisiert, aber nicht korrekt bereinigt werden, lauern im Netz viele Zeitbomben und warten nur darauf, aktiviert zu werden.