Anfrage stellen
Anfrage stellen
digitalagentur

Gehacktes Magento reparieren lassen

Content Management Systeme (CMS) für Onlineshops sind ein häufiges Angriffsziel für Cyberkriminelle, da sich hier potentiell wertvolle Daten wie Kreditkartennummern, Namen, Adressen und E-Mail-Accounts erbeuten lassen. Das quelloffene Magento steht als populärstes Shopsystem weltweit überdurchschnittlich häufig im Fadenkreuz von Attacken. Angesichts der vertraulichen Daten und der möglichen Folgen muss unverzüglich reagiert werden, sobald der Verdacht eines erfolgreichen Einbruchs besteht. 

Schritt 1: Weitere unberechtigte Zugriffe auf die Webseite blockieren

Nach dem Eindringen in ein fremdes System legen Kriminelle in fast allen Fällen weitere Zugriffsmöglichkeiten (Backdoors) an, um nicht auf eine Sicherheitslücke angewiesen zu sein. Einer Whitelist für Netzwerkverbindungen unterbindet jegliche Kommunikation mit unbekannten Quellen. Alternativ oder zusätzlich schafft ein Passwortschutz über .htaccess für die vollständige Webseite Sicherheit. Die Domain sollte während der Reparatur auf einen unabhängigen Webspace mit einem Notfallsystem umgelenkt werden. 

Schritt 2: Exakte Kopie des Systems erstellen

Hinweise auf die verwendete Sicherheitslücke, den Ablauf eines Angriffs und mögliche Backdoors sind in dem System verteilt und lassen sich nur durch eine gründliche Suche vollständig aufspüren. Für eine Analyse ist ein vollständiges 1:1 Back-up unverzichtbar, das unter anderem die originalen Zeitstempel (Timestamps) beinhaltet. Dieses lässt sich auf unterschiedlichen Weise erzeugen: 

  • Eine Kopie des gesamten Systems über FTP mit der Option “Keep Timestamps”. 
  • (Empfohlen:) Das Erstellen einer mit zip, xz oder gzip komprimierten Kopie für den Download – entweder manuell über eine Shell wie SSH oder über das Webinterface von Werkzeugen wie Plesk, Webmin, DirectAdmin (DA) oder cPanel.
  • Sicherung der verwendeten Datenbanken zum Beispiel mittels phpMyAdmin

In einigen Fällen schleusen die Täter Viren, Trojaner oder Schadsoftware wie Rootkits ein oder nutzen das CMS für deren Verbreitung. In solchen Fällen kann es notwendig sein, den Virenscanner während des Download zu deaktivieren. 

Schritt 3: Aufspüren der Sicherheitslücke und Rekonstruktion des Angriffs

Um Risiken einer Infektion auszuschließen, eignen sich Linux-Betriebssysteme als Quarantäne-Umgebung, die durch Programme wie VMWare oder VirtualBox auf einer virtuellen, isolierten Hardware operieren. Wichtig für die Wiederherstellung eines sicheren Systems ist unter anderem, den Zeitpunkt der Infiltration möglichst exakt zu bestimmen. Dafür eignet sich ein systematisches Vorgehen, mit dem dieser eingekreist und jede spätere Änderung erkannt wird. 

  • Virenscan: Dieser spürt bekannte Schadsoftware auf und liefert bei positivem Resultat erste Hinweise auf Identität, Vorgehen und Ziele der Täter. Für das Aufspüren von Backdoors ist der Scan nur schlecht geeignet, da sich diese leicht in Systemprogrammen oder Skripten verstecken lassen. 
  • Dateisystem: In vielen Fällen lassen auffällige Timestamps auf den Ursprung eines Einbruchs schließen. Ein typisches Merkmal sind Veränderungsdaten bei einzelnen Dateien, die stark von den anderen in einem Verzeichnis abweichen. Falls die Parameter nachträglich korrigiert wurden, verrät eventuell der Eintrag des übergeordneten Verzeichnisses durch Unstimmigkeiten die Manipulation – etwa wenn dessen Änderungsdatum deutlich nach dem aller enthaltenen Dateien liegt. Ein weiterer Hinweis sind neu angelegte Dateien, für dessen Erstellung kein erkennbarer Grund existiert.
  • Auswertung der Logs: Spezielle Tools bereiten die teilweise sehr umfangreichen Logdateien grafisch aus und suchen nach verdächtigen Einträgen. Interessant sind unter anderem massenhafte Login-Versuche, der Aufruf von manipulierten URL oder der Zugriff auf das Backend von eindeutig fremden IP-Adressen. Gelöschte Abschnitte verraten sich mitunter durch auffallend große Zeitabstände zwischen Einträgen.
  • Datenbanken: Unbekannte Nutzer mit weitgehenden Rechten für den Zugriff können eine Backdoor darstellen, über die Angreifer kontinuierlich Daten stehlen. 

Schritt 4: Backups als Ausgangsposition für die Reparatur

Es ist ein zeitraubender und arbeitsintensiver Vorgang, eine Magento-Installation vollständig auf Backdoors zu überprüfen. Oft ist es wesentlich schneller und komfortabler, ein garantiert sauberes Back-up als Grundlage zu nutzen. Wurden seit Erstellung keine umfangreichen Änderungen in Design, Layout und bei Plug-ins durchgeführt, kann dieses relativ zügig durch die Aktualisierung der Datenbank, der Erweiterungen und des Shopsystems auf den neuesten Stand gebracht werden. 

Ist kein Backup vorhanden oder kann der Zeitpunkt der Infiltration nicht bestimmt oder eingegrenzt werden, muss die Existenz von Backdoors und Schadprogrammen wie Chatbots, E-Mail-Spammern oder Inhalten für Phishing und Spoofing zweifelsfrei ausgeschlossen werden. Ein effizienter Ansatz dafür ist der Vergleich des Dateisystems mit einer unveränderten Installation des Shopsystems und der Plug-ins. Anschließend erfolgt die Überprüfung des Inhalts jeder abweichenden Datei mithilfe von WinMerge, GTKdiff oder anderen Tools, die die Unterschiede zwischen beiden Versionen farblich markieren und hervorheben. 

Schritt 5: Schließen aller Sicherheitslücken und regelmäßige Aktualisierung

Da die verwendeten Passwörter eventuell kompromittiert oder ausgelesen wurden, ist eine Änderung vor Aufhebung der Zugriffssperre unverzichtbar. Der überwiegende Teil erfolgreicher Angriffe beruht auf mangelnder Sicherheit der Passwörter, auf bekannten Sicherheitslücken oder auf inoffiziellen und unzureichend geschützten Erweiterungen. Regelmäßige und zeitnahe Aktualisierungen schließen neu gefundene Schwachstellen und minimieren das Risiko, Opfer eines Hacks zu werden.

Professionelles Webdesign für Unternehmen und Unternehmer. Wir als Internetagentur gestalten und programmieren Internetseiten und sorgen für Top Rankings mittels Suchmaschinenoptimierung (SEO).

Quicklinks
Kontakt

B2K Media GmbH
Kronberger Str. 12
14193 Berlin – Grunewald

Jetzt Anfrage stellen