Ich wurde gehackt! Was ist zu tun?

Wenn eine Seite gehackt worden ist, müssen zwingend Massnahmen getroffen werden, um den Schaden zu minimieren.

TL;DR Dies soll keine vertiefte Anleitung sein, sondern vielmehr ein etwas pathetischer Aufruf, die Dinge nicht auf die leichte Schulter zu nehmen.
Detaillierte Anleitungen gibt es zum Beispiel auf Joomlasecurity.de, auf fchosting.de und auch beim Web - Worker Berlin - um nur einige der deutschsprachigen Ressourcen zu nennen. In den Wochen des ausklingenden 2015 konnte man viel lesen über gehackte Joomla-Seiten, man hörte Ratschläge, Tips und Tricks, wie man eine gehackte Seite wieder zum Laufen bringt.

Schlangenöl

Das Meiste, was man im Dezember 2015 im Forum von Joomla.ch an Tips und Tricks zum Thema gehackte Joomla Seiten lesen konnte ist leider Schlangenöl. Da wurde empfohlen nach geänderten Datein zu suchen und diese entweder zu löschen oder zu überschreiben. Auch auf geänderte .htaccess Dateien wurde schon früher hingewiesen die - ach wie übel - alle Links umbieen auf irgendwelche unappetitlichen Angebote.

Das ist alles im Prinzip zwar nicht falsch, greift aber zu kurz:
Die Zeit, als Scripkiddies sich einen Spass daraus machten, eine Seite über eine bekannte Schwachstelle anzugreifen und einen Gruss zu hinterlassen, sind leider seit langem passé. Heutige Angriffe erfolgen wesentlich perfider und sind nicht einfach durch das Tauschen bzw. Überspielen einiger Dateien abzuwehren. Die Angriffe reichen bis zum Ersatz von scheinbar harmlosen Bildern (z.B. das Joomla! Logo), worin dann in den EXIF Daten ein Teil des Schadcodes versteckt wird, welcher dann durch eine Datei nachgeladen und ausgeführt wird. Ein Virenscanner findet einen solchen Exploit kaum. Das Reinigen einer gehackte Seite setzt folglich profundes Wissen in (Joomla-)Forensik voraus, damit man sicher ist, dass wirklich alles gesäubert werden kann. Natürlich kann man eine Installation mit Dateivergleich auf Änderungen abchecken, aber dann muss man dasselbe auch für alle Erweiterungen machen. Und die Datenbank?
Man muss sich bewusst sein, dass ein Angreifer automatisch Zugriff auf die gesamte Joomla! Installation, inklusive der Datenbank hat.
Einschub an der Stelle: Der Aufwand für regelmässige Backups ist demgegenüber absolut vernachlässigbar - man muss es halt machen

Tamagotchi

Wer erinnert sich noch an Tamagotchis? Einige von euch sind möglicherweise zu jung dafür. Das waren diese kleinen blöden Games, bei denen es galt, ein virtuelles Küken zu füttern, zu streicheln, zu tränken. Vergass man eine Weile lang, dem Teil Aufmerksamkeit zu widmen, starb es - und man konnte das Ding in die Tonne treten.
So ähnlich ist es mit Joomla. 3 Updates in den letzten 3 Wochen. Wer hier nicht mitmacht, hat zumindest beim Update auf 3.4.6 schlechte Karten in der Hand. Man muss am Ball bleiben, man muss informiert bleiben, man muss reagieren. Es gibt genügend RSS Feeds, Social Media Kanäle und Webseiten, auf denen ihr euch über aktuelles rund um Joomla informieren könnt. Regelmässige Besuche des Backends lohnen unbedingt. Dasselbe gilt für alle installierten Erweiterungen: Auch hier gibt es von zeit zu Zeit Sicherheitslücken, die zeitnahe gestopft sein wollen.
Noch ein Einschub: Wir reden hier von Joomla!, aber ähnliches gilt selbstverständlich für andere aktive Content Systeme! Niemand will hier Joomla madig machen: Die Lücke, welche mit 3.4.7 gestopft wurde, war eine Lücke in einigen jüngeren PHP Versionen.

Weg vom Netz

Das Wichtigste, wenn man bemerkt, dass eine Seite gehackt worden ist:
Die Seite sofort vom Netz nehmen! Die Offline Funktion im Backend reicht nicht

  • Bedenkt, dass ihr als Inhaber einer Webpräsenz unbedingt weiterer Schaden vermeiden müsst.
  • Bedenkt, dass wahrscheinlich auf demselben Server noch andere Seiten laufen, die durch den Angriff Schaden nehmen könnten, und dass die Schuld dann bei euch liegt - mit allen Konsequenzen.
  • Bedenkt, dass ihr für Schäden zur Verantwortung gezogen werden könnt, durch euren Provider, oder durch die Justiz (Spamschleuder, Blacklisting, Filesharing etc.)
  • Setzt sofort einen Paswortschutz auf das Verzeichnis der Seite (wie das geht, kann beim Hoster angefragt werden).
  • Alternativ kann das Verzeichnis umbenennt werden.
  • Danach werden alle Dateien, Verzeichnisse sowie die Datenbank auf die lokale Maschine heruntergeladen, damit man -sofern man dazu in der lage ist - alles genauer untersuchen kann.
  • Alle Passwörter (Hosting-Panel, FTP etc.) müssen zwingend und sofort geändert werden.
  • Wenn nicht klar ist, wie das geht, sucht man am Besten professionelle Hilfe.

An Allereinfachsten haben es die Leute, die Sicherheit ernst nehmen, und deshalb regelmässige Backups von Ihren Seiten herstellen. Mit einem Lächeln können sie ihre Seiten wieder herstellen (Passwörter bitte gleich ändern, am Besten vor dem Wiederaufspielen). Wichtig: vor dem Wiederherstellen die bestehende Joomlainstallation komplett löschen. Nur so kann sichergestellt werden, dass keine nicht zu Joomla gehörenden Dateien und Verzeichnisse zurückbleiben (Danke Tribal6 für diesen Hinweis).
Alle Übrigen haben es echt schwer und lernen hoffentlich aus dem Desaster..
Im Übrigen sei hier noch einmal auf die Links in der Zusammenfassung am Anfang verwiesen: Alle diese Tips erzählen euch mit Variationen dasselbe. Beherzigt diese Tips!

 

3.5 Timeline