„Abuse-Handling“ bei schadhafte Skripten im Auftrag

In diesem Teil unserer Reihe zum Thema Sicherheit im Webhosting möchten wir genauer erläutern, was zu tun ist, wenn Sie von uns eine E-Mail mit dem Betreff „Schadhafte Skripte in Ihrem Auftrag // AN:“ erhalten haben.

Haben Sie eine solche E-Mail erhalten, so wurde ein Missbrauch Ihrer Skripte (Spam, Malware, Phishing) festgestellt. Entweder wurde ein Skript dazu genutzt, Spam- oder Phishingmails zu versenden oder es wurde durch unsichere Skripte in den Account „eingebrochen“ und dort Inhalte abgelegt, die Malware vertreiben oder eine Phishingseite beinhalten. In einem solchen Fall wurden entweder die betroffenen Dateien für den Zugriff per http oder auch die Domain vorübergehend gesperrt.

Wie wird ein Missbrauch der Skripte festgestellt?

Ähnlich wie bei E-Mails, bei denen wir Meldungen von Mailserver-Dienst-Betreibern erhalten, werden wir auch im Falle von einem Missbrauch von Skripten teilweise durch Dienste wie beispielsweise Google oder Yandex per E-Mail informiert, dass eine infizierte Seite aus unserem Netz gefunden wurde. Auch von uns selbst werden dazu Programme eingesetzt, die betroffene Domains ausfindig machen können.

Die Dienste finden die Seiten z.B. beim crawlen oder über sog. Honeypots, über die ein Angreifer versucht hat, eine Datei der gehackten Webpräsenz nachzuladen.

Sie selbst können übrigens mittels einem Dienst wie z.B. dem Sitecheck von Sucuri oder dem noch relativ jungen Portal Initiative S des Verbandes der deutschen Internetwirtschaft e.V. Ihre Seite auf Javascript-Malware prüfen lassen.

Wie erfolgt ein Hack, was macht der Angreifer?

Ein Angriff und schlussendlich ein Hack erfolgen in den meisten Fällen über veraltete Skripte, welche Sicherheitslücken aufweisen und so z.B. über Parameter in der URL andere Dateien von fremden (auch gehackten) Servern nachladen und ausführen (Remote File Inclusion) oder den Code aus einem Formular direkt ausführen.

Der Angreifer lässt sich dann eine PHP-Shell erstellen/laden, über welche er sich komfortabel per Skript Zugriff auf die Quota der Domain verschafft. Die Funktionen sind ähnlich umfangreich wie in einem FTP-Programm. Dies ist mit ein Grund, weshalb wir zum Einsatz von Quotas raten, um einzelne Webpräsenzen abzuschotten, so dass der Angreifer im Fall der Fälle nur innerhalb einer Quota agieren kann.

Über eine solche PHP-Shell infiziert der Angreifer dann die Dateien und fügt in diese Schadcode ein, der beim Aufruf der Seiten geladen wird. Dieser Code ist im Regelfall Javascript-Code welcher versucht, die Besucher beim Aufruf der Domain zu infizieren (Drive-By-Download).

Wenn nun ein User mit einer älteren Software-Installation (Browser, Flash, Plugins…) die Seite besucht, wird dieser mit der verlinkten Software infiziert (meist über ein „Exploit-Kit“) und verschickt seinerseits dann entweder Spam oder greift wiederum andere Systeme an.

Unser Abuse-Team blockiert nach Feststellung der Infektion mit schadhaften Skripten im Auftrag den Zugriff auf die infizierten Dateien über http. So können die Dateien weiterhin über FTP/SSH bearbeitet werden, aber Besucher der Seite können nicht mehr infiziert werden.

Wie finde ich infizierte Dateien bzw. säubere sie?

Haben Sie von uns eine E-Mail erhalten, so können wir Ihnen auf Anfrage die infizierten Dateien nennen. Unsere Technik listet Ihnen diese – soweit möglich – auf Anfrage gerne auf. Je nach Ihrer Einstellung für die Speicherung von Logfiles kann auch darüber ermittelt werden, über welches Skript bzw. welche Lücke der Angriff stattgefunden hat, sofern der Angriff nicht zu lange zurück liegt.

Alternativ können Sie sich die Dateien auf den lokalen Rechner herunterladen und diese mit einem Antiviren-Programm prüfen. Die Antiviren-Scanner können oft auch die Code-Teile erkennen und somit infizierte Dateien finden.

Wichtig nach einer Säuberung der Dateien ist es natürlich auch, die ausgenutzte Lücke zu schließen, indem Sie die Software (CMS, Blog, Shop etc.) und installierte Erweiterungen aktualisieren.
Die meisten Hersteller bieten einen Newsletter, eine Mailingliste oder einen RSS-Feed an, der Sie über eine neue Version der Software informiert.

Nachdem die Dateien bereinigt und der Schadcode entfernt wurde, antworten Sie bitte kurz auf die erhaltene E-Mail und die Kollegen werden die Seite wieder entsperren.

Wir hoffen Ihnen mit diesen Informationen ein Einblick in den Ablauf gegeben zu haben, der uns im Bedarfsfall dazu veranlasst, Skripte oder eine Domain vorübergehend zu sperren, um Dritte vor weiterem Schaden zu schützen und hoffen auf Verständnis für diese Vorgehensweise.

End of article

Dietmar

Über den Autor

Dietmar

Dietmar ist seit 2005 bei domainFACTORY in wechselnden Aufgabenbereichen tätig. Seit 2013 unterstützt er als "Spezialist Qualitätssicherung Web" die Kollegen in der Entwicklungsabteilung bei allen Themen rund um Quality Assurance / Testing. Dabei kommt ihm die jahrelange Erfahrung im direkten und indirekten Kundensupport und der Begleitung bei der Einführung unseres ResellerProfessional-Systems zu Gute. Auch für viele Kollegen ist er bei Fragen dazu oder sehr alten Tarif-Konstellationen noch immer gerne eine Anlaufstelle.

2 Kommentare

Bitte füllen Sie das Captcha aus : *

Reload Image

Die von Ihnen hier erhobenen Daten werden von der domainfactory GmbH zur Veröffentlichung Ihres Beitrags in diesem Blog verarbeitet. Weitere Informationen entnehmen Sie bitte folgendem Link: www.df.eu/datenschutz


  • Amir Mansoor
    Amir Mansoor - 20. Juli 2016 um 20:26 Uhr

    Vieln Dank für den informativen Beitrag. Gibt es ein SSH- oder PHP-Script das nach Schadcode sucht? Dann könnten wir dies auf unseren zahlreichen Webseiten automatisch durchlaufen lassen.

    • Nils Dornblut
      Nils Dornblut - 24. Juli 2016 um 16:18 Uhr

      Wir haben ein solches Skript im Einsatz und auf Nachfrage bei der Technik kann der Webspace bei der DomainFactory durch die Technik überprüft werden. Zum Download steht das Skript allerdings nicht bereit.