In den letzten Wochen wurden verstärkt Zugangsdaten zu FTP-Servern gehackt. Die BSI (Bundesamt für Sicherheit in der Informationstechnik) hat bei einer Botnetz-Analyse Zugangsdaten zu diversen Internetprovidern ausfindig gemacht. Betroffen sind vornehmlich Strato und Host Europe Accounts. Auch bei einigen von meinen Kunden wurde Schadsoftware in Form von Javascripts hinterlegt.

Das Thema Schadsoftware und Malware ist ein breit gefächertes Thema. Je nach Art der Schadsoftware sind evtl. weitaus mehr Massnahmen notwendig, als die hier beschriebenen. Wir helfen gerne weiter wenn Du betroffen bist, nimm einfach Kontakt mit uns auf.

Ist mein Account betroffen?

Ob Dein Account betroffen und bereits mit Schadcode infiziert ist, wirst Du ganz schnell feststellen, denn sämtliche Browser warnen bei Besuch auf Deiner Webseite vor gefährlicher Malware.

Was kann ich tun?

Zunächst solltest Du unbedingt Deinen PC auf Schadprogramme untersuchen, denn meistens werden Daten über Botnetze durchstöbert. Hierzu kannst Du Dir über das Botnetz Beratungszentrum ein EU-Cleaner downloaden und Deinen PC überprüfen.

Wenn Dein Account betroffen ist, wird es höchste Zeit zum handeln. Denn, wenn neue Besucher Deiner Seite auf einen Warnhinweis stoßen, waren sie wohl das erste und letzte mal auf Deiner Webseite. Was ist zu tun:

  1. Ändere schnellstmöglich Dein FTP-Kennwort beim Provider. Eine Empfehlung für die Erstellung sicherer Kennwörter gibt es hier.
  2. Art des Schadsoftware feststellen.

    Google bietet mit der Google Safe Browsing-Diagnoseseite http://www.google.com/safebrowsing/diagnostic?site=www.example.com (example.com ersetzt Du durch Deine Domain) eine Möglichkeit festzustellen, welcher Befall vorhanden ist. Auch mit Hilfe der Google Webmaster-Tools kann man feststellen, welche Malware gefunden wurde (Webmaster Tools setzt einen gültigen Google-Account voraus. Desweiteren muss Deine Seite bei Webmaster Tools angelegt sein). Webmaster Tools gibt aber nicht immer die infizierten Dateien aus, sondern verweist oft nur auf die Infektion.
    3dm-webmastertools

  3. Wie finde ich nun heraus, welche Dateien infiziert sind?

    Den ersten Einblick erhält man bereits durch Sichtung der FTP-Dateistruktur bzw. der FTP-Logdateien. Hat man in letzter Zeit keine Daten hochgeladen, sind besonders Dateien neueren Datums verdächtig und deuten auf einen Befall hin. Diese Dateien sollte man sich genauer ansehen. Oft versteckt sich dort ein schadhaftes Javascript im Quellcode. Vorausgesetzt Du bist mit Deinem Virenschutzprogramm auf dem aktuellen Stand, kannst Du via FTP Deine Dateistruktur der Internetseiten auf Deinen PC laden. Normalerweise findet Deine Antiviren-Software schon beim Download die infizierten Dateien und löscht bzw. isoliert diese.
    3dm-bedrohung_1

  4. Jetzt wissen wir schon mal, welche Dateien infiziert sind. In der Regel werden folgende Dateitypen befallen: index.htm, index.html, index.php und Header.php. Allerdings hatte ich letzte Woche bei einem betroffenen Kunden den Fall, das sämtliche html-Dateien einer XT-Commerce Installation befallen waren.
  5. Kann Deine Antiviren-Software die Dateien nicht bereinigen, wird sie die Dateien zwangsläufig löschen. Ohne Backup ist man nun aufgeschmissen, daher ist es stets wichtig auf ein Backup seiner Seite zurückgreifen zu können. Hast Du kein lokales Backup, setz Dich mit Deinem Provider in Verbindung. Es besteht evtl. die Möglichkeit, das dieser ein Backup zurückspielen kann.
  6. Wenn Du auf ein Backup zurückgreifen kannst, ist die einfachste Lösung, alle Daten auf dem FTP-Server zu löschen und das vorhandene Backup einzuspielen. Es ist natürlich klar, das alle Änderungen seit dem Backup verloren sind. Daher sind regelmässige Backup’s aus meiner Sicht ein absolutes Muss.
  7. Jetzt sollte die Domain wieder frei von schadhafter Software und Malware sein.
  8. Jetzt solltest Du Google davon in Kenntnis setzen, das Deine Domain wieder frei von Schadsoftware ist. Dies geschieht über Webmaster Tools >>Status der Webseite überprüfen<<
  9. Wurde Deine Domain bereits von Deinem Provider gesperrt, musst Du sie nun wieder entsperren lassen. Meist hast Du dann von Deinem Provider eine Benachrichtigung erhalten, darin wird in der Regel angegeben wie in solch einem Fall vorzugehen ist.

Vorsichtsmassnahmen

  • Grundsätzlich gilt generell sichere Passwörter einzusetzen. Das Passwort sollte aus Zahlen, Buchstaben und Sonderzeichen (z. b.: ^°!@_µ#) bestehen.
  • Verwende das Passwort nicht mehrmals. Gerade in der Vergangenheit machte ebay Schlagzeilen mit gehackten Zugangsdaten.
  • Verwende sichere FTP-Zugänge. Die meisten Provider stellen ein Zertifikat zur Verfügung, mit dem es möglich ist, eine verschlüsselte Verbindung zum Server aufzubauen. Dies geschieht durch die Servereinstellungen des FTP-Clients. Da nicht jeder Provider das SFTP (SSH File Transfer Protocol) unterstützt kann man auch auf Explizites FTP umstellen. Hier mal anhand von Filezilla und all-inkl.com dargestellt:
    3dm-ftp-explizit
The following two tabs change content below.

Frank Viehmann

Geschäftsinhaber bei 3D Mediadesign
Ursprünglich Projektleiter in der 3D-Produktentwicklung, seit 2006 spezialisiert auf 3D Visualisierungen mit Cinema 4D und Webdesign auf Basis von WordPress. Begeisterter Schäferhundefan und Hundesportler mit unserer Freya. Folge mir auch auf Google+, Twitter oder Facebook.

Neueste Artikel von Frank Viehmann (alle ansehen)