Website-Klinik

Offline.

Mit der Website-Klinik wurde an dieser Stelle zwischen 2012 und 2016 die Bereinigung von infizierten Websites angeboten. 

Dies bedeutete 7 Tage an 365 Tagen im Jahr Stress für ein 2-Mann Team. Inzwischen komme ich zu der festen Überzeugung, dass Prävention viel effektiver ist. Nähere Details dazu bald. 

Derweil aber noch ein paar Hinweise zur Vermeidung von infzierten Websites.  

Gemäß des des Kaspersky Antivierenherstellers rangiert Deutschland in der Mitte dieses Jahrzehnts auf Platz 4 der Weltrangliste, was die Infektionsversuche durch Websites anging. Der Antivirenhersteller Kaspersky verhinderte nach eigenen Angaben jährlich knapp 185 Millionen offizielle (durch User gemeldete) Angriffsversuche durch deutsche Websites. Und tatsächlich steigt das Risiko einer Infektion zunehmend, da sich hinter Malware zumeist finanzielle Interessen verbergen und finanzielle Interessen nehmen nun mal nicht ab.

Wurde die eigene Webseite durch einen Virus (Malware) infiziert, so hat dies in der Regel keinen persönlichen Hintergrund. Es ist in den meisten Fällen also nicht die Konkurrenz, oder gar ein unzufriedener Kunde der sich hinter einer Websiteinfizierung verbirgt. Vielmehr sind es Sicherheitslücken, die für Masseninfektionen genutzt werden und dem Angreifer finanzielle Vorteile verschaffen. Denn Malware dient in aller Regel dem – zugegeben vollkommen unseriösem – Marketing. Ziel: Datenbeschaffung und massive Trafficsteigerung (also mehr Besucher für Produkt xy) – nicht selten sind dabei die 3P (Porn, Pills, Poker) im Fokus der unseriösen „Werbemaßnahmen“.

 

Wie gelangt Malware auf meine Website?

 

Diese Frage beschäftigt jeden betroffenen Websitebetreiber – meist schon vor der Frage, wie sich der Virus von der Website entfernen lässt. Dabei gibt es keine passende Standardantwort. Die Möglichkeiten lassen sich jedoch eingrenzen:

 

Häufige Gründe für eine Websiteinfektion

 

  • unsichere Passwörter
  • infizierter PC
  • nicht aktualisiertes CMS / Shopsystem
  • nicht aktualisierter Webserver
  • verwaiste Dateien auf dem FTP Server
  • zu viele Projekte auf einem Webspace

Im Kern lässt sich damit sagen, dass entweder das Passwort zu unsicher war, oder die jeweiligen Systeme nicht optimal konfiguriert, aktualisiert bzw. selbst infziert sind.

Was tun, bei infizierter Webseite?

 

Du kannst natürlich selbst versuchen, die infizierten Dateien ausfindig zu machen. Je nachdem wie fit du in Sachen HTML, PHP, JS, MySQL und Co. bist, kannst Du verdächtige Codezeilen schnell und leicht auf dem Server erkennen. Nicht selten bestehen komplexe Internetseiten aber aus mehr wie 3 statischen HTML Dateien. Da kann die Suche schon mal zur Sisyphusarbeit werden – gerade dann, wenn kein SSH zur Verfügung steht um nach erkannten Mustern zu suchen…

Alternativ kannst du SUCURI (englisch)* in Anspruch nehmen. Hier bekommst Du im Falle eines Falles die nötige Unterstützung, um Deine Homepage von Schadcode zu befreien, bzw. kannst prüfen, Deine Seite überhaupt infiziert ist.

Viel wichtiger ist dann aber noch die Prävention vor zukünftigen Infektionen:

 

Wie schütze ich meine Webseite vor Malware?

 

1) PASSWORT

An erster Stelle steht wirklich dieses „dumme Passwort“. Es soll nirgendwo gespeichert werden, es sollte lang sein und es muss auch noch einprägsam sein… VERDAMMT! Da kommen dann schon mal Passwörter wie „Schatzi1979″, oder schlimmer „123456“ bei heraus. Aber auch wer klug kombiniert, ala „LisaTürkei2008″ wird überrascht sein, dass dies kein besonders sicheres Passwort ist. Denn alles was in Wörterbüchern zu finden ist, oder aus Zahlen kombiniert werden kann, kann auch verhältnismäßig schnell erraten werden. Natürlich nicht direkt von einem Menschen – aber mit entsprechender CPU-Unterstützung kein Problem. Denn schon mit einem handelsüblichen PC können bis zu 40 Millionen Passwörter pro Sekunde lokal ausprobiert werden.

Daraus ergibt sich: Kein Passwort ist wirklich sicher! Wer aber klassische Jahreszahlen und Wörter aus dem Wörterbuch vermeidet, stattdessen Kleinbuchstaben, Großbuchstaben, Ziffern und Sonderzeichen „wahllos“ vermischt – besteht mit seinem Passwort zumindest schon mal gegen „gebräuchliche“ Passwortlisten. Wer ganz auf Nummer sicher gehen möchte, sollte seine Passwörter auch in regelmäßigen Abständen austauschen und natürlich nicht mehrfach in unterschiedlichen Projekten verwenden!

 

2) SOFTWAREUPDATES

An zweiter Stelle folgt die Absicherung der Website durch die stetige Aktualisierung der Software. Häufig werden für Websites sogenannte Content Management Systeme bzw. Shopsysteme verwendet (also zum Beispiel: XTcommerce, Typo3, Joomla, WordPress, oder Drupal). Diese sind praktisch und erleichtern die Inhaltspflege der eigenen Homepage. Keines dieser Systeme ist grundsätzlich unsicher, solange brav jedes Softwareupdate installiert wird. Damit werden nämlich oft die sogenannten Sicherheitslücken ausgemerzt. Bei den Updates können sich dann aber Differenzen auftuen, da nicht jedes CMS oder Shopsystem gleichsam pflegeleicht ist.

Gerade Joomla macht es dem Anwender beispielsweise beim Wechsel von Joomla 1.5 auf 2.5 nicht gerade leicht, da es sich dabei um kein einfaches Update, sondern um eine Migration handelt. Wer hingegen WordPress verwendet, benötigt nur das One-Klick Update um das System nebst Plugins zu aktualisieren. Freilich können dabei gelegentlich auch Probleme auftauchen (weil etwa Plugins oder Themes nicht mehr zur neuesten WordPress-Version passen, dies tritt jedoch eher selten auf und deutet darauf hin, dass die Entwicklung des betroffenen Themes oder Plugins ohnehin nicht sauber war, da der WordPress Standard umgangen wurde)

Kurzum: Nur ein stets aktualisiertes CMS-System schliesst bekannte Sicherheitslücken und erschwert Angreifern den unerlaubten Zugang.

Wo wir aber gerade von Plugins und Themes sprachen… Es gibt sehr viele schöne Erweiterungen und Layouts für die o.g. Shopsysteme bzw. CMS-Systeme. Viele dieser Plugins und Templates werden mit viel Liebe und Verstand produziert, seltener baut ein Entwickler auch bewusst Spähprogramme, oder bewusste Sicherheitslücken ein. Gelegentlich werden Entwicklungen aber auch eingestellt, weil der Entwickler keine Zeit oder Lust mehr hat. Diese Erweiterungen können dann aber mit der Zeit eben auch veralten und stellen damit ein zusätzliches Sicherheitsrisiko dar. Hinzu kommt, dass auch die ungünstige Mischung unterschiedlicher Plugins zu einem Sicherheitsrisiko werden kann. Faustregel daher: Plugins sind praktisch und komfortabel, jedoch sollte jedes Plugin stets auf den Prüfstand gestellt werden: Brauche ich das wirklich, ist es noch aktuell – wann gab es das letzte Update? Gibt es notfalls aktive Alternativen? Zugegeben macht das die Pflege der Website nicht einfacher – aber hey: Niemand hat behauptet, dass Webseiten wartungsfrei sind 😉

 

3) SERVER / HOSTER

Jedoch müssen nicht nur Passwörter sorgsam gewählt und CMS-Systeme stets aktualisiert werden, auch der Server muss korrekt konfiguriert und abgesichert werden. Daher bei der Wahl des Webhosters auch diesen Sicherheitsaspekt nicht aus den Augen verlieren. Ein guter Webhoster bietet zudem integrierte, serverseitige Virenscanner an und unterstützt zuweilen bei der Behebung von Problemen.

Wer mit Serveradministration auf Kriegsfuss steht, bzw. nicht im Ansatz weiß was eine SSH Verbindung ist und demzufolge auch nicht mit der Konsole umgehen kann, sollte einen weiten Bogen um sämtliche Root-Server und V-Server Angebote schlagen. Diese Dedicatet Root-Server, bzw. V-Server müssen vom Kunden selbst betreut und abgesichert werden!

Also: auch wenn der Preis verlockend ist – Finger weg vom eigenen Server, oder einen Systembetreuuer (Admin) mit der Wartung beauftragen. Wer keinen Systemadmin kennt, aber mit einem einfachen Webpaket nicht zurechtkommt (Shopbetreiber zum Beispiel), sollte auf einen Managed Server umsteigen.

 

4) EIN (VHost) WEBSPACEPAKET JE PROJEKT

WHAT? All die schönen Webspace-Pakete mit (übertrieben formulierten) 5.000 Inklusivdomains, 3 Millionen Datenbanken und 500 Terrabyte Speicherplatz zum Spitzenpreis von 2,99 Euro im Monat sind NICHT sicher?

Nein, sind sind sie nicht!

Unabhängig vom Webhoster: Ein Vhost ist ein Vhost und erlaubt Dateiübergreifende Transaktionen. Da macht auch Malware keine Ausnahme und kann daher in Bruchteilen von Sekunden auch „benachbarte“ Installationen angreifen. Daher sollte für jedes Projekt auch ein separierter Webspace gebucht werden. Das schützt zwar nicht vor Angriffen und macht die Sache nicht zwangsläufig günstiger – aber es kann einen Haufen Arbeit und Ärger einsparen. Denn im Falle eines Falles ist EIN Projekt betroffen und nicht gleich die ganze virtuelle Existenz.

5) ORDNUNG AUF DEM WEBSPACE

Um es klar zu sagen: Ein Webserver / ein Webpaket ist kein Keller! Kindheitserinnerungen, also alte Projekte haben auf einem produktiven Webserver nichts verloren! Der Grund ist denkbar einfach: Sind alte Seiteninhalte erreichbar, können diese die Sicherheit gefährden. Ein altes Kontaktformular oder Gästebuch aus dem Jahre Schnee können somit sämtliche vorgenannten Sicherheitsvorkehrungen zunichte machen. Programmierfehler aus 2004 könnten somit auch im Jahr 2013 zu einem Problem werden! Daher gilt: Alles was keine Miete zahlt, sollte vom Webserver verbannt werden (oder zumindest in gezippter Form abgelegt werden)

An der Stelle ein weiterer Hinweis: Webpakete kosten heute wirklich nicht mehr die Welt! Daher sollte jedes ernsthafte Internetprojekt auch sein eigenes Webpaket erhalten. Der Grund auch hier: Würde eine Installation erfolgreich angegriffen, können alle anderen Installationen auf dem gleichen Webpaket ebenfalls infiziert werden. Um eine „Ansteckung“ zu vermeiden, sollten die Projekte in jeweils eigenständigen Webspacepaketen laufen.

 

6) ENDGERÄTE ABSICHERN

Naja, einen Virenscanner haben die meisten ja auf Ihren Personal Computern installiert. Sofern nicht, wäre ein solcher durchaus ratsam. Zu beachten ist vor allem: Ein Virenscanner ist vollkommen unbrauchbar, wenn die Virendatenbank veraltet ist. Also: Virenscanner installieren (bitte nur einen – viel hilft nicht immer viel) und dafür Sorge tragen, dass die Virendatenbanken stets aktuell sind.

In dem Zusammenhang noch ein letzter Hinweis: Gelegentlich rücken wir unsere Zugangsdaten heraus, um Unterstützung von außen zu erhalten. Das ist (nach eigenem Ermessen) sicherlich OK und selten wird der Freund / Bekannte / Geschäftspartner absichtlich Schadcode auf die Website einschleusen. ABER: Deren Geräte haben wir nicht im Griff! Wir können also nicht im Ansatz feststellen, ob die Virenscanner dort ordnungsgemäß arbeiten. Es ist daher ratsam,(S)FTP Zugriffe nur dann zur Verfügung zu stellen, wenn sichergestellt ist, dass auch die Umgebung des „Helferkreises“ Virenfrei ist und bleibt. Sicherheitshalber sollten nach der angeforderten Unterstützung die (S)FTP Zugangsdaten geändert bzw. sofern eigens angelegt, auch wieder gelöscht werden. Dadurch wird gewährleistet, das der Kreis der potentiell möglichen Endgeräte für eine Infektion sehr klein gehalten wird – das Risiko dadurch minimiert wird.

 

7) BACKUP

Nein, ein Backup (= Sicherungskopie) schützt freilich nicht vor einer Infektion! Aber sollte es einmal passieren, dass die eigenen Webseite mit Malware infiziert wurde, kann die Homepage dank Sicherung schnell restauriert werden. In so einem Fall auch noch einmal gründlich VORHER alle 5 vorgenannten Punkte prüfen.

 

Im Prinzip war es das auch schon! Natürlich könnte die Liste nun noch beliebig verfeinert werden – gerade im Bezug auf die jeweiligen CMS Systeme. So gilt zum Beispiel für alle CMS und Shopsysteme: Installiere nicht blind irgendwelche Erweiterungen (Add-Ons / Plugins) und sei vor allem bei kostenfreien Layouts (Themes/Templates) umsichtig. Nicht selten versucht der Autor zumindest mit teils komischen, fest im Layout integrierten Links seine Arbeit zu refinanzieren. Sei in allem was du tust umsichtig und vermeide so die Infektion der eigenen Webseite.

 

 

* Bei Links mit Stern handelt es sich um sogenannte Affiliate-Links. Solltest du dort also etwas kostenpflichtiges in Anspruch nehmen, so erhalte ich dafür eine Provision. Dir entsteht durch die Nutzung des Affiliate-Links kein Preis- oder sonstiger Nachteil. Daher freue ich mich über den Support, so wie du es hoffentlich auch getan hast?