Mein Online-Shop wurde gehackt – was kann ich tun?

Nachdem ich schon wieder einen Fall eines gehackten Shops hatte (dieses Mal xt:commerce 3.04), kurz ein paar Worte dazu. Ich möchte im folgenden kurz das grundlegende Vorgehen aufzeigen und einige der Gegenmaßnahmen, die helfen.

Es geht im Folgenden also nicht um DDoS-Attacken, mit denen Webseiten-Betreiber erpresst werden sollen, sondern um das Szenario eines Hackings des Server. Der Angreifer ist auf den Server gelangt und manipuliert dort Daten.

Der erste Gedanke ist natürlich das Ändern der Passwörter. Wenn der Angreifer allerdings eine versteckte Webkonsole installiert, mit der er auf Datenbank und/oder Dateisystem zugreifen kann, dann nützt auch das einmalige Ändern der Passwörter nichts. Schritt eins wäre also das komplette Filesystem zu durchsuchen. Wenn ein Backup einer älteren Version vorhanden ist, dann lokal mit einem Diff-Programm und abgleich aller Dateien. Wahlweise können auch alle Files mit dem Befehl grep nach verdächtigen Begriffen durchsucht werden. Beliebt sind für Online-Shop Hacking iframes oder PHP-Schadcode, der mit base64 obfuscated wurde. Gerne werden harmlos klingende Dateinamen mit „.php“ – Endung verwendet, die versteckten Code enthalten.

Ein Blick in die Logfiles, hier FTP-Logs kann auch helfen. Allerdings können diese vom Angreifer manipuliert worden sein.

Das Ziel ist herauszufinden
1) Welche Files der Angreifer manipuliert hat
2) wie er diese hochgeladen hat
3) wie er ursprünglich auf den Server / an die Passwörter gelangt ist.

Gerade letzteres lässt sich oft nur rudimentär rekontruieren. Beispielsweise kann er über ein gehacktes Email-Konto, etwa durch Phishing, an die Passwortdaten gelangt sein. Diese Lücke sollte geschlossen werden, denn ansonsten landet man bei der klassischen Symptombekämpfung, ohne die Ursache anzugehen.

Konkrete Gegenmaßnahmen:
1) Manipulierte Dateien austauschen oder Schadcode in Files entfernen
2) Alle Passwörter, die mit dem Account verknüpft sind ändern (sowie nach Möglichkeit User-Namen)

Diese Liste gibt grob schematisiert einen Überblick über die wichtigsten Maßnahmen. Das Vorgehen wird sich je nach Fall unterscheiden. Wichtig ist in dem Fall aber auch eine Prophylaxe: sich frühzeitig und regelmässig über Sicherheit Gedanken machen. Und an konkreten Maßnahmen arbeiten, die eigenen Sicherheitsstandards zu erhöhen.

3 Antworten zu “Mein Online-Shop wurde gehackt – was kann ich tun?”

  1. Hallo, ich bin 1und1 Kunde. Leider habe auch ich die Erfahrung gemacht, wir betreiben eine größere Website und einen Onlineshop.

    Leider bin ich mit dem hack- der Website nicht mehr alleine klar gekommen und habe mir Hilfe gesucht. Diese fand ich bei einem bekannten IT Sicherheitsunternehmen.

    Die Anleitung in allen ehren, aber es ist einfach zu komplex für Personen wie mich. Malware konnte ich trotz einigen versuchen nicht entfernen, obwohl ich wirklich nicht unerfahren bin. Aber meine Programmierkenntnisse sind eben nicht ganz so gut, das es für eine solche Maßnahme gereicht hätte.

    Für alle die es auch erwischt, habe ich eine klare Empfehlung, das Team von Janotta und Partner. An dieser stelle will ich da meinen Vorredner zustimmen. Übrigens habe ich Janotta und Partner über Shop-Freelancer kennengelernt. :-)

    Unbekannt sind sie nicht, den sich haben mehr als 3000 Follower.
    https://www.janotta-partner.de/Onlineshop-sicherheit.html

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.