digitalagentur

Gehackte Drupal Webseite reparieren lassen

Wegen seiner Flexibilität, Benutzerfreundlichkeit und seines Supports hat sich Drupal weltweit als komfortables und sicheres Content Management System (CMS) etabliert. Aufgrund einer vergleichsweise strikten Kontrolle der offiziellen Module und des Kernsystems gelten Angriffe auf das CMS als wenig erfolgreich. Leider gelingt es Kriminellen trotzdem, durch fehlerhafte Konfiguration oder bislang unerkannte Sicherheitslücken eine Webseite zu infiltrieren. In diesem Fall ist sofortiges und konsequentes Handeln unverzichtbar:

1. Webseite unverzüglich vor weiterem Missbrauch schützen

Schon bei einem ernst zu nehmenden Verdacht muss eine Internetseite umgehend isoliert werden, um weiteren Schaden zu verhindern. Vermutet ein Angreifer, dass er entdeckt worden sein könnte, wird er ansonsten seinerseits unverzüglich maximalen Schaden anrichten. In der Regel verfügt er über eine versteckte Hintertür (Backdoor), über die er jederzeit auf das CMS zugreifen kann. Es ist deshalb ratsam, die Domain zeitweilig auf einen anderen Webspace umzuleiten. Um unbefugten Zugriff zu unterbinden, empfehlen sich ein Passwortschutz über .htacccess (nur bei Apache 2 Webserver möglich) und eine Whitelist, über die nur spezielle, ausgesuchte IP-Adressen weiter Zugriff erhalten.

2. Vollständiges, unverfälschtes Backup anfertigen

Für eine datenforensische Untersuchung ist ein vollständiges, unverändertes Back-up hilfreich. Wichtige Hinweise geben unter anderem Größe und Zeitstempel (Timestamps) von Dateien, die Logs und mitunter Inhalte der Datenbank – etwa neu angelegte (unbekannte) Nutzer oder solche mit ungewöhnlichen Rechten. Zu diesem Zweck sollte eine 1:1-Kopie des aktuellen Zustands angelegt und in einer virtuellen Umgebung (zum Beispiel einem Linux OS unter VMWare oder VirtualBox) ohne externen Netzwerkzugriff installiert werden. Dazu können folgende Verfahren verwendet werden:

  • Sämtliche Daten über FTP mit der Option “Keep Timestamp” in das virtuelle Betriebssystem herunterladen oder (besser):
  • Inhalt des gesamten Webspace mittels zip, tar, xz oder gzip komprimieren (beispielsweise über eine SSH-Shell oder Administrationswerkzeugen wie Plesk, DirectAdmin oder WebMin)
  • Möglichst Backup der Datenbank erstellen (zum Beispiel über PHPMyAdmin)

Die komprimierten Dateien sind prinzipiell nicht gefährlich, sofern sie als pure Daten geladen und NIEMALS geöffnet oder ausgeführt werden. Sie sollten trotzdem sicherheitshalber in der Virtualisierung lagern. Unter Umständen muss für den Download der Virenscanner deaktiviert werden.

3. Sicherheitslücke erkennen und den Angriff nachvollziehen

Ein Eindringen über eine bislang vollständig unbekannte Sicherheitslücke (0-Day-Exploit) ist ohne umfangreiches Fachwissen mitunter nur schwer aufzuspüren – glücklicherweise aber auch eine sehr seltene Ausnahme. Angriffe auf Webseiten erfolgen in fast allen Fällen nach dem Zufallsprinzip, indem Kriminelle das Netz weiträumig nach Seiten mit bekannten Schwachpunkten durchsuchen. Eine Analyse sollte folgende Schritte umfassen:

  • Virenscan: Auf diese Weise lässt sich eine zusätzliche Infektion mit bekannten Schadprogrammen ausschließen. Bei einem positiven Resultat sind Rückschlüsse auf Herkunft und Professionalität des Angreifers möglich.
  • Logs: Praktisch jeder Angriff wird von einer oder mehreren Log-Dateien erfasst. Auffällig sind unter anderem massenhafte Verbindungsanfragen, ungewöhnliche Zeitpunkte oder abweichende URLs, die nicht vom System oder von externen Links stammen. Log-Dateien lassen sich nachträglich manipulieren – “fehlende” Einträge (etwa über einen bestimmten Zeitraum mehrerer Minuten) sind deshalb ebenfalls interessant.
  • Veränderungen im Dateisystem: Aus Bequemlichkeit verzichten viele Angreifer darauf, Zeitstempel nachträglich zu korrigieren. Das Datum der letzten Veränderung verrät deshalb häufig, wann der Angriff erfolgte. Ebenso wichtig ist die Reihenfolge, denn sie lässt auf seinen Ursprung und Ablauf schließen.
  • Neue Dateien: Neu angelegte Dateien mit ungewöhnlichen Berechtigungen oder Eigentümern sind typisch für eine Backdoor andere bösartige Skripte wie Chatbots, E-Mail-Spammer oder “Zombie-Bots”, die Befehle von fremden Servern ausführen.

4. Wiederherstellung

Bei einem von einem Virus infizierten Computer sollte aus Sicherheitsgründen das Betriebssystem vollständig neu installiert werden. Bei einer Webseite ist es analog dazu sinnvoll, den Zeitpunkt des Angriffs festzustellen und ein sauberes Back-up einzuspielen. Neue Inhalte oder Nutzerregistrierungen werden durch die Datenbank übernommen, wobei diese in jedem Fall auf User mit unzulässigen Rechten überprüft werden sollte.

Existiert kein Back-up, sollte ernstlich eine vollständige Neuinstallation erwogen werden. Diese ist meistens weniger aufwendig als befürchtet – bestehende Konfigurationen können nach einer Überprüfung übernommen werden.

Ist aus unterschiedlichen Gründen beides nicht möglich, muss das gesamte CMS manuell überprüft werden. Eine Backdoor kann prinzipiell in jedem Skript und in jeder Datei stecken und muss nur einmal an einer geeigneten Stelle aufgerufen werden. In diesem Fall ist es hilfreich, das CMS und sämtliche Module, Plug-ins oder Templates mit Vorlagen aus der offiziellen Quelle zu vergleichen. Hilfreich sind dabei grafische Werkzeuge wie WinMerge oder GTKdiff, die Unterschiede zwischen zwei Dateien grafisch darstellen.

5. Stetige Aktualisierung aller Komponenten

Alle vom Betreiber verwendeten Passwörter müssen nach jedem erfolgreichen Hack geändert werden. Darüber hinaus sollten auch Nutzer informiert und zu einer Änderung aufgefordert werden. Den besten Schutz vor einem Hack bietet nach wie vor eine permanente, zeitnahe Aktualisierung von Drupal und allen externen Plug-ins. Entwickler schließen kritische Sicherheitslücken fast immer, bevor diese öffentlich bekannt werden – werden Updates vernachlässigt, kommt dies fast einer Einladung an Kriminelle jedes Ursprungs gleich.

Jetzt Anfrage stellen