{"id":9867,"date":"2015-02-17T15:45:24","date_gmt":"2015-02-17T13:45:24","guid":{"rendered":"https:\/\/blog.hwr-berlin.de\/elerner\/?p=9867"},"modified":"2018-07-20T15:50:16","modified_gmt":"2018-07-20T13:50:16","slug":"ist-deine-webseite-sicher","status":"publish","type":"post","link":"https:\/\/blog.hwr-berlin.de\/elerner\/ist-deine-webseite-sicher\/","title":{"rendered":"Ist Deine Webseite sicher?"},"content":{"rendered":"
\"Foto<\/a>

Foto by Klicker, http:\/\/www.pixelio.de\/media\/287802<\/p><\/div>\n

Ich spielte Kicker. Mein Teamkamerad\u00a0 und ich waren bereits seit einer halben Stunde ohne Pause am Tisch, als mich um 22:00 ein Freund anrief. Wichtig sei es… Google meldete sich bei ihm und hat seine Webseite aus den Suchergebnissen ausgeschlossen. Auch sein Provider hat zeitweise die Seite aus dem Verkehr gezogen und angemahnt, dass von seiner Seite aus Phishing-Angriffe<\/a> stattfinden. Dritte haben sich Zugriff auf die Seite verschafft und ein zum Verwechseln \u00e4hnliches Loginformular platziert, um Anmeldedaten der Bankkunden abzugreifen und an E-Mails der Angreifer weiterzuleiten.<\/p>\n

Die Arbeit rief und man soll ja bekanntlich dann aufh\u00f6ren, wenn’s am sch\u00f6nsten ist.<\/p>\n

Der Schock sa\u00df erst einmal tief. Es ist gerade Saison, um neue Auftr\u00e4ge f\u00fcr das Unternehmen des Freundes einzufahren und seine Werbetrommel stand auf einmal still…<\/p>\n

Also ging es an die Analyse und Beseitigung der Folgen des Hackerangriffs. Zuerst fiel auf, dass das Content Management System<\/a> (kurz: CMS) stark veraltet war, also updaten und damit potenzielle Sicherheitsl\u00fccken schlie\u00dfen. Das war sicherlich das erste Einfallstor der Hacker, zumal das benutzte CMS in den letzten Jahren gerade wegen Sicherheitsl\u00fccken ins Rampenlicht der Fachpresse und ins Visier der Angreifer ger\u00fcckt ist. Damit konnte es sicherlich nicht getan sein, also ging die Suche nach Werkzeugen und Hinterlassenschaften der Angreifer weiter. <\/p>\n

Das Haupteinfallstor hat sich direkt auf der Startseite der befallenen Seite befunden: \u00fcbergab man der index.php einen bestimmten Parameter, so tat sich ein Formular auf, in welchem man Dateien hochladen konnte. Ziemlich frech.<\/p>\n

2 Stunden sp\u00e4ter und mehrere Dutzend gel\u00f6schte Dateien sp\u00e4ter konnte man davon ausgehen, dass der Angriff in 2 Zeitabschnitte aufgespalten werden kann. Zuerst wurde im August 2014 das Einfallstor ge\u00f6ffnet. Der Code ist sehr spartanisch, sogar kindisch, wenn man so will. Der zweite Angriff erfolgte erst im Februar 2015. Hier wurden die besagten Betrugsseiten platziert, welche ein Paar Tage nach dem Auftauchen von Google entdeckt wurden. Ohne Hilfsdateien sind die Angreifer nicht ausgekommen: Hunderte von Kilobyte an verschl\u00fc\u00dfeltem Code wurden hier auf der Webseite platziert und untereinander verlinkt, auf dem gesamten Webspace verteilt. Das war eine reife Leistung, die das Aufsp\u00fcren des Schadcodes erheblich erschwehrt hat.<\/p>\n

Profiarbeit, nicht verwunderlich bei den Daten, auf welche es die Misset\u00e4ter abgesehen haben. Am Ende ergeben sich f\u00fcr meinen Freund folgende Folgen: Werbeausfall von einer Woche, erheblicher Einbruch des Google-Ratings, Kosten f\u00fcr die S\u00e4uberung des Webspaces. Und das ganze, weil die Software auf seinem Webspace nicht aktuell war. Was f\u00fcr Folgen diese Aktion der b\u00f6sen Jungs f\u00fcr die Bank und deren Kunden hatte, mag ich mir gar nicht ausmalen.<\/p>\n

Also: keep save. Frag den Administrator deines Vertrauens, ob deine Seite sicher ist, denn der Feind schl\u00e4ft nie, sondern sitzt mit einer Club-Mate Flasche vor dem Rechner \ud83d\ude42<\/p>\n","protected":false},"excerpt":{"rendered":"

Ich spielte Kicker. Mein Teamkamerad\u00a0 und ich waren bereits seit einer halben Stunde ohne Pause am Tisch, als mich um 22:00 ein Freund anrief. Wichtig sei es… Google meldete sich bei ihm und hat seine Webseite aus den Suchergebnissen ausgeschlossen. Auch sein Provider hat zeitweise die Seite aus dem Verkehr gezogen und angemahnt, dass von […]<\/p>\n","protected":false},"author":66,"featured_media":9871,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","inline_featured_image":false,"footnotes":""},"categories":[1292],"tags":[709,710,862],"class_list":["post-9867","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-nicht-kategorisiert-de","tag-hacker","tag-phishing","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/blog.hwr-berlin.de\/elerner\/wp-json\/wp\/v2\/posts\/9867","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.hwr-berlin.de\/elerner\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.hwr-berlin.de\/elerner\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.hwr-berlin.de\/elerner\/wp-json\/wp\/v2\/users\/66"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.hwr-berlin.de\/elerner\/wp-json\/wp\/v2\/comments?post=9867"}],"version-history":[{"count":11,"href":"https:\/\/blog.hwr-berlin.de\/elerner\/wp-json\/wp\/v2\/posts\/9867\/revisions"}],"predecessor-version":[{"id":15909,"href":"https:\/\/blog.hwr-berlin.de\/elerner\/wp-json\/wp\/v2\/posts\/9867\/revisions\/15909"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.hwr-berlin.de\/elerner\/wp-json\/wp\/v2\/media\/9871"}],"wp:attachment":[{"href":"https:\/\/blog.hwr-berlin.de\/elerner\/wp-json\/wp\/v2\/media?parent=9867"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.hwr-berlin.de\/elerner\/wp-json\/wp\/v2\/categories?post=9867"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.hwr-berlin.de\/elerner\/wp-json\/wp\/v2\/tags?post=9867"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}