FAQ: Hilfe, ich glaube mein Shop wurde gehackt
Der neue Shop wurde eingerichtet, das Layout wurde auf die persönlichen Bedürfnisse angepasst und es wurden noch ein paar Plugins installiert. Die ersten Kunden haben schon bestellt und es wurde eine Menge Zeit und Energie investiert. Und dann kommt eines Tages eine Mail von einem Benutzer das die Seite einen Virusalarm erzeugt, Inhalte enthalten sind die dort nicht hingehören oder Kunden beschweren Sich über Spammails.
Was nun?
Ruhig bleiben
Es ist von entscheidender Bedeutung in solch einer Situation ruhig zu bleiben. Keine übereilten Aktionen. Im Idealfall ist sogar schon eine Checkliste vorbereitet die in einem solchen Fall abzuarbeiten ist. Es kommt immer wieder vor das Shopbesitzer später keine Logfiles mehr haben oder nicht wissen was in der Webseite war und damit ist eine nachträgliche Analyse der Ereignisse nicht möglich.
Professionelle Hilfe in Anspruch nehmen
Gibt es bei den weiteren Informationen und Vorschlägen Unsicherheiten so sollte man auf jeden Fall professionelle Hilfe in Anspruch nehmen. Habt Ihr einen Dienstleister der mit so einer Situation Erfahrung besitzt? Wenn nicht könnt Ihr einen kompetenten Partner über das Kontaktformular ansprechen.
Webseite sperren
Der Domaineigentümer ist für Schäden die durch seine Seite entstehen haftbar. Schadensminimierung ist somit erste Pflicht. Am wirkungsvollsten geht das, indem man die Seite per Passwortschutz (.htaccess) vorübergehend schließt.
Passwörter ändern
Es müssen die Kennwörter für die Shop Administrator, den FTP Account und die MySQL Datenbank geändert werden. ACHTUNG: Nach der Bereinigung müssen die Passwörter erneut geändert werden (s.u.).
Analyse
Häufig wird ein Shop mit Malware durch den eigenen PC verseucht. In diesem Fall wurde nicht in den Shop eingebrochen sondern in den PC mit dem dieser gepflegt wird. Man hat also “selber” die Malware in dem Shop aufgespielt. Unverschlüsselte Passwörter bei Filezilla sind so ein Beispiel.
- Den eigenen PC auf Viren überprüfen. Antivirensoftware ist Pflicht. Manche Viren können sich vor Antivirensoftware unter Windows verstecken. Deshalb ist es deutlich sicherer, den PC von einem anderen Betriebssystem aus zusätzlich zu überprüfen. Bewährt und recht einfach ist da CT-Desinfect ( http://www.heise.de/download/desinfect.html ). Das gilt für alle Rechner, von denen aus am Shop gearbeitet wird/wurde!
- Server-Logs untersuchen - besonderer Augenmerk auf den Zeitraum -> Zeitstempel der veränderten Dateien
- Alle Shop-Admins überprüfen -> Gibt es neue Admins?
- Vergleich der Dateien und Inhalte mit Sicherungsdaten (z.B. mit WinMerge) eventuell auch nach typischen Mustern suchen (iFrame etc.)
Absprachen mit dem Hosting Provider.
In shared hosting Umgebungen kann es dazu kommen das nicht nur die eigene Seite sondern auch andere Webseiten betroffen sind. Es kann hilfreich sein diese Möglichkeit mit dem Hoster zu besprechen.
Ein Backup erstellen.
Es mag sich merkwürdig an hören aber man sollte auf jeden Fall ein Backup der verbliebenen Dateien erstellen. Dies kann später zur Analyse verwendet. Auf jeden Fall darauf achten das dieses Backup einen eindeutigen Namen erhält und nicht später versehentlich wieder eingespielt wird.
Alles Löschen und Backup einspielen
Der schnellste und sicherste Weg zu einer sauberen Installation zu gelangen ist den gesamten Web Space zu löschen und einen Restore einer sauberen Installation durchzuführen.
Passwörter noch mal ändern!!!
Auf jeden Fall noch mal die bereits genannten Kennwörter ändern. Der restauriert Shop müsste jetzt die vermutlich kompromittierten Kennwörter aus der Sicherung wieder haben. Diese auf jeden Fall noch mal ändern.
Upgrade!
Ist der Shop auf einen sauberen Stand restauriert worden sollte auf jeden Fall direkt auf die neuste Version upgegraded werden.
Die Webseite wieder freigeben
Wenn alles bereinigt ist, kann die Seite wieder freigegeben werden.
Post-mortem Analyse
Ist der Shop wieder aufgebaut ist es sinnvoll die gesicherte kompromittierte Version und die Logfiles genauer zu analysieren.
Backups, Backups, Backups,
In vielen Fällen ist so ein Sicherheitsvorfall der Moment in dem viele Shopbetreiber feststellen das sie ein Backup gemacht haben müssten.
Backups müssen regelmäßig automatisiert durchgeführt werden und ein Restore des Shops sollte einmal getestet werden
So und jetzt hoffen wir das dieses Dokument möglichst wenig verwendet wird.