Leider gehören Angriffe auf Webseiten mit Joomla zum Alltag. Das Content Management System (CMS) ist bei Betreibern populär – und Cyberkriminelle schätzen diese hohe Verbreitung, weil sie dadurch viele Ziele mit wenig Aufwand attackieren können. Oft gehen sie dabei nicht gezielt vor, sondern suchen einfach nach Opfern mit einer bekannten Sicherheitslücke, um Informationen mit wenig Aufwand zu erbeuten. Wurde eine Webseite nachweislich gehackt, sollte schnell reagiert werden:
Maßnahme 1: Zugriff von außen unterbinden
Solange keine Details bekannt sind, muss die gesamte Webseite inklusive aller Daten als kompromittiert betrachtet werden. Nahezu immer schaffen sich die Angreifer einen zusätzlichen Zugriff (Backdoor), um die Installation in Zukunft komfortabel und ohne offensichtliche Spuren nutzen zu können. Aus diesem Grund sollte die ganze Internetseite abgeschirmt werden – entweder, indem sie vollständig über .htaccess mit einer Passwortsperre versehen oder indem die Domain auf eine unabhängige Präsenz wie eine Wartungsseite außerhalb Joomla umgelenkt wird. Selbstverständlich sollte der Provider informiert werden, denn die Sicherheitslücke könnte sich auch in seinem System verbergen.
Maßnahme 2: Spuren sichern und den Angriff analysieren
Wurde dem Angreifer die “Tür verriegelt”, muss die Sicherheitslücke gefunden und das Vorgehen bei dem Hack rekonstruiert werden. Dazu ist zunächst einmal eine 1:1 Kopie notwendig, die lokal auf einem abgeschirmten Computer – am besten in einem virtualisierten Betriebssystem – untersucht wird. Wichtig ist, dass die Dateien original inklusive ihres Erstellungs- und Veränderungsdatum (Timestamps) erhalten bleiben:
- Bei FTP existiert dazu die Option Timestamps beibehalten
- Alternativ ein komplettes Backup anfertigen (z. B. über SSH oder einem Admin-Tool wie Plesk, DirectAdmin oder Webmin) und herunterladen
- Für den Download muss unter Umständen der Virenscanner deaktiviert werden. Deshalb sicherheitshalber eine virtuelle Umgebung wie VirtualBox oder VMWare verwenden.
Je nach Art der Kompromittierung kann es leicht oder sehr aufwendig sein, den Ursprung der Sicherheitslücke zu erkennen. Wichtig ist es, mindestens den genauen Zeitpunkt des ersten erfolgreichen Angriffs festzustellen. Für die Analyse sollten folgende Punkte berücksichtigt werden:
- Virenscan: Ein umfassender, tiefgreifender Virenscan erfolgen, der eventuell infizierte Dateien aufspürt, ist unverzichtbar. Verläuft dieser negativ, ist dies allerdings noch keine Garantie, dass nicht trotzdem eine unidentifizierte Backdoor existiert. Er bietet keine Sicherheit, sondern ist nur ein erster Schritt.
- Timestamps: Veränderte oder neu angelegte Dateien können eine Backdoor bergen oder unerwünschte Dienste wie E-Mail-Spamming, Bots, Shellskripte und Ähnliches ausführen. Sie können außerdem Resultat der Sicherheitslücke sein – zum Beispiel, wenn sicherheitsrelevante Dateien mit neuem Inhalt überschrieben wurden. Manchmal manipulieren Angreifer die Zeit nachträglich, vergessen dabei jedoch häufig, die Einträge für das übergeordnete Verzeichnis ebenfalls zu korrigieren.
- Log-Dateien: Nahezu alle Attacken hinterlassen eindeutige Spuren in den Log-Dateien. Darunter fallen beispielsweise massenhafte und fehlgeschlagene Login-Versuche, ungewöhnliche Seitenaufrufe etwa des Datenbankservers oder POST Einträge. Die Logdateien sind mitunter sehr groß und unübersichtlich – automatisierte Tools helfen bei der Analyse und bereiten Funde grafisch auf.
Maßnahme 3: Wiederherstellung
Kann der Zeitpunkt exakt festgestellt werden, ist es ratsam, ein davor liegendes Backup als Grundlage für die Wiederherstellung zu verwenden. Im Zweifelsfall ist dies keine empfehlenswerte Lösung, denn auch auf diesem kann bereits eine Backdoor installiert worden sein. Mitunter vergeht zwischen der ersten Kompromittierung und einem auffälligen Verhalten eine gewisse Frist, die nicht selten einige Monate betragen kann. Es ist deshalb sinnvoll, Backups langfristig sicher zu speichern – auch sie können unter Umständen zur Feststellung des wahren Zeitpunkts beitragen.
Nach der Installation eines garantiert sauberen Backups müssen Datenbanken und die Joomla Version sowie alle Plug-ins aktualisiert werden. Ist der Ablauf des Hacks bekannt, sollte dieser in einem separaten Testsystem einmal nachgestellt werden, um sicherzustellen, dass die Sicherheitslücke geschlossen wurde.
Existiert kein Backup oder ist die Aktualisierung zu aufwendig beziehungsweise unmöglich, müssen alle Dateien sorgfältig überprüft werden. Joomla verwendet PHP als Programmiersprache – zunächst stehen deshalb Skripte mit der Endung .php im Fokus.
- Vergleiche mit dem Original: Alle Dateien sollten auf Änderungen gegenüber der Originalversion von Joomla oder einem Plug-in inspiziert werden. Dazu eignen sich Programme wie WinMerge, die die Unterschiede in zwei Skripten übersichtlich darstellen und farblich markieren.
- Fremde Dateien aufspüren: Upload-Verzeichnissen wie /image oder /media sind von außen schreibbar und enthalten deshalb häufig fremde Inhalte bis hin zu Schadcodes.
- Temporäre Dateien analysieren: In /tmp, /logs und /cache finden sich neben Hinweisen auf einen Hack öfter auch getarnte Dateien oder Spuren von veränderten Skripten
- .htaccess Dateien kontrollieren: .htaccess ist ein machtvolles Werkzeug, das mit nur wenigen Zeilen für eine Backdoor missbraucht werden kann.
- Optionale, individuelle Komponenten: In nachinstallierten Inhalten und deren Verzeichnisse wie /plugin, /modules, /layout oder /components lassen sich besonders leicht fremde Code-Schnipsel und Dateien verstecken.
Maßnahme 4: Sicherheit vor und nach dem Neustart
Der sicherste Schutz vor einem erfolgreichen Hack sind nach wie vor regelmäßige Updates und die Verwendung von möglichst wenigen Erweiterungen, die aus vertrauensvollen Quellen stammen. Bevor die Webseite wieder online geht, sollten alle Passwörter geändert und das gesamte System auf den neuesten Stand aktualisiert werden. Empfehlenswert sind außerdem zusätzliche Sicherheitsmaßnahmen wie Filter, erweitertes Logging und Plug-ins für das Online-Monitoring und die Alarmierung bei verdächtigem Verhalten.