Webseite gehackt - was tun?

Leider gehört es im Internet zum Alltag, dass Webseiten gehackt werden. Dabei sind nicht nur kleine und private Webpräsenzen betroffen, vor allem große und bekannte Onlineauftritte werden regelmäßig zum Ziel von Hackern. Doch was kann man tun, wenn die eigene Webseite gehackt wurde und wie bemerkt man den Vorfall überhaupt? Alles Wissenswerte dazu finden Sie im folgenden Artikel.

Warum werden Webseiten überhaupt gehackt?

Grundsätzlich lässt sich bei gehackten Webseiten zwischen zwei Szenarien unterscheiden. Bei der einen Variante richten sich Hackerangriffe gegen Webauftritte von bekannten Unternehmen, Organisationen oder Persönlichkeiten. Ziel der Angriffe ist es dabei Aufmerksamkeit zu erregen, ein politisches Statement zu verbreiten oder die entsprechende Webseite und deren Betreiber zu verunglimpfen. Hacker suchen sich in diesem Fall die Webseite gezielt aus und es ist sehr schwierig, sich davor zu schützen und den Angriff zu verhindern. Selbst große Firmen wie Sony oder Anbieter von Sicherheitssoftware wie Kaspersky hat es bereits erwischt. Genauso sind polarisierende Politiker wie Wolfgang Schäuble oder Al Gore ein beliebtes Ziel. Einfache Webseiten sind von diesem Vorgehen aber in der Regel so gut wie nie betroffen, außer man zieht den Zorn eines direkten Konkurrenten auf sich.

Eine viel größere Gefahr für normale Webmaster besteht durch Angriffe, die es gar nicht speziell auf die eigene Webseite abgesehen haben. Bei dieser Variante erfolgt der Angriff vollkommen automatisch durch Tools, die das Internet nach Sicherheitslücken in Webseiten absuchen. Wird eine entsprechende Schwachstelle bei der eigenen Webpräsenz gefunden, verschaffen sich die Tools Zugang und spielen den Schadcode automatisch auf den Server. Die eigene Webseite kann dabei so manipuliert werden, dass sie für Phishing, Spamversand sowie DDOS- oder BruteForce-Angriffe auf weitere Ziele genutzt werden. Zudem kann der Schadcode dafür verantwortlich sein, dass Malware auf den Computer von Webseitenbesuchern installiert wird. Oftmals werden auch Links zu Onlineangeboten in die eigene Webseite eingebaut, um das Google Ranking der Zielseiten zu verbessern. Dabei handelt es sich nicht selten um zweifelhafte oder gar illegale Webangebote. Je nachdem, welcher Schaden angerichtet wird, kann der Webseitenbetreiber auch für weitere Folgeschäden verantwortlich gemacht werden. Es ist also im Interesse des Webseitenbetreibers, Hackerangriffe schnell zu erkennen und so gut es geht komplett zu verhindern.

Woran erkennt man eine gehackte Webseite?

Oftmals erfahren Webseitenbetreiber erst relativ spät davon, dass die eigene Onlinepräsenz das Opfer von Hackerangriffen wurde. Am offensichtlichsten ist es, wenn beispielsweise der Virenscanner des Computers beim Besuch der eigenen Webseite anschlägt. Aber auch Suchmaschinen wie Google überprüfen Webseiten automatisch auf Schadcode, wenn deren Bot die Webseite scannt. Werden gefährliche Aktivitäten entdeckt, erhält der Besucher sobald die URL im Browser aufgerufen wird eine Warnung. Oftmals setzen Freunde oder Bekannte den Betreiber in diesem Fall darüber in Kenntnis.

Wurde die Webseite hingegen nur verändert, etwa durch das Einfügen fremder Links, aber kein Schadcode eingespielt, erfolgt keine Warnung. Webseiten mit zweifelhaften Links sind ganz normal zu erreichen und oftmals fällt es niemanden auf. Gerade wenn die Links einigermaßen gut versteckt sind, beispielsweise im Footer oder auf Unterseiten, bleiben sie über Jahre aktiv, weshalb dieses Vorgehen bei Spammern und Hackern so beliebt ist.

Die effektivste Möglichkeit, um eine gehackte Webseite zu erkennen, ist die manuelle Überprüfung der gesamten Onlinepräsenz in regelmäßigen Abständen. Dabei sollte man sich alle Seiten genau ansehen und auf Veränderungen achten. Wer Programmierkenntnisse hat, der kann auch direkt den Quellcode durchsuchen oder in relevanten Dateien wie der .htaccess-Datei oder in PHP-Scripten nachsehen. Bestimmte Codestellen sind besonders auffällig, etwas base64, eval oder iframe. Wer sich hier auskennt, der hat einen großen Vorteil. Allgemein ist auch das Änderungsdatum von Dateien ein guter Hinweis, ob Daten eventuell manipuliert wurden. Dieses lässt sich auch ohne große technische Kenntnisse einfach per FTP überprüfen.

Wer sich mit der Materie nicht gut auskennt, der ist auf die Nutzung von zusätzlichen Sicherheitstools angewiesen, die diese Aufgabe übernehmen. Neben Googles praktischen Tools gibt es eine ganze Reihe an kostenlosen und kostenpflichtigen Helfern verschiedener Anbieter:

• Google's Safe Browsing Checker
• http://www.google.com/safebrowsing/diagnostic?site=EIGENE WEBSEITE HIER EINFÜGEN
• Google Search Console
• Malewarecheck ausführen
• Securi SiteCheck
• https://sitecheck.sucuri.net
• AVG ThreatLabs
• http://www.avgthreatlabs.com

Was ist zu tun, wenn die Webseite gehackte wurde?

Wurde die eigene Webseite gehackt, dann können Sie sich an folgende Schritt-für-Schritt Anleitung orientieren, um die Sache wieder in den Griff zu bekommen:

• Backup erstellen
• Im ersten Schritt sollte auf jeden Fall ein Backup erstellt werden. Obwohl die Seite infiziert ist, lohnt es sich den Ist-Zustand festzuhalten. Zum einen, um später nachvollziehen zu können, welche Dateien verändert wurden und zum anderen zur Beweissicherung, falls Schadensansprüche geltend gemacht werden.
• Webseite Offline nehmen
• Nachdem das Backup erstellt ist, sollte die Webseite offline genommen werden, damit sich der Schadcode nicht weiter ausbreiten kann.
• Computer überprüfen
• Um ausschließen zu können, dass die Sicherheitslücke nicht auf dem eigenen Computer zu finden ist, sollte nun das System überprüft werden. Oftmals setzen Hacker Keylogger ein, die das Passwort zum Webspace ausspähen, ohne dass der Nutzer etwas davon merkt. Hierzu sollte man einen aktuellen Virenscanner verwenden und zusätzlich eine Anti-Malewaresoftware einsetzen.
• Alle Passwörter ändern
• Ist das eigene System sicher, sollten nun alle Passwörter geändert werden. Dies betrifft den Zugang zur Verwaltungskonsole des Webhosters, den FTP-Zugang sowie sämtliche Kennwörter, die Zugriff auf die Datenbank oder ein Content Management System gewähren.
• Herausfinden, woher der Angriff stammt
• Mithilfe der Logfiles und den Änderungsdaten der Dateien kann man nun versuchen herauszufinden, woher der Angriff stammte und wie sich die Hacker Zugriff zum System verschafft haben. Hier kann man auch mit dem Webhoster selbst zusammenarbeiten, beispielsweise wenn man die Logfiles analysiert.
• Daten auf dem Webspace löschen
• Egal, ob die Recherche nach der Ursache erfolgreich ist oder nicht, im nächsten Schritt sollten sämtliche auf dem Webspace vorhandenen Dateien gelöscht werden. Somit kann das Risiko einer erneuten Korrumpierung deutlich verringert werden. Dabei gilt es nicht nur die Daten per FTP zu löschen, sondern auch Datenbanken sowie geplante Tasks wie Cron Jobs.
• Webseite neu hochladen
• Schließlich muss die Webseite neu hochgeladen werden. Dabei sollte ein hoffentlich vorhandenes Backup eingespielt werden. Dabei ist aber unbedingt darauf zu achten, dass dieses nicht auch infiziert ist. Vor allem wenn man nicht genau weiß, wann der Hackerangriff erfolgte, sollte man sich hier vorher von der Unversehrtheit des Backups vergewissern.

Welche vorbeugenden Maßnahmen sind zu empfehlen?

Um Hackerangriffe zu verhindern, kann auf folgende vorbeugende Maßnahmen zurückgegriffen werden:

• Webseite und Computer überwachen
• Sowohl die Webseite als auch der eigene Computer sollte regelmäßig auf Vieren uns Schadsoftware überprüft werden. Dazu kann auf dem lokalen Computer ein Virenscanner sowie ein Antimalware-Programm genutzt werden. Für die Überwachung der Webseite gibt es Onlinedienste oder entsprechende Plugins beim Einsatz von Content Management Systemen wie WordPress.
• System aktuell halten
• Das Serversystem und die verwendete Software sollten stets aktuell gehalten werden. Wird der Server vom Webhosting Anbieter administriert, ist dieser dafür zuständig. Werden Content Management Systeme wie WordPress oder Joomla eingesetzt, muss auch hier die Software inklusive aller Erweiterungen stets aktuell gehalten werden.
• Sichere Kennwörter
• Für den Zugang zu Webhosting Konsole, FTP und Administrationsbereich sollten starke Passwörtern und individuelle Benutzernamen verwendet werden.
• Weitere Sicherheitstipps
• Speziell für die Absicherung von Servern finden Sie hier weitere Informationen: Linux Server sichern und Windows Server sichern



 

Leider gibt es im Internet keine 100-prozentige Sicherheit vor Hackerangriffen. Wenn man sich aber mit dem Thema beschäftigt und vorbeugende Maßnahmen ergreift, lässt sich das Risiko Ziel eines Angriffs zu werden deutlich reduzieren.