Security-Tips

TYPO3 CMS Certified Integrator

TYPO3 CMS Certified Integrator im Expertennetzwerk

Sicherheit bei Content-Management-Systemen:

Security-Tips von TUKANI

Woran erkennt man überhaupt Hacker-Angriffe gegen Websites? und mögliche Maßnahmen zur Abwehr

1. Sofortiger Download des logs-Ordners:
Warum sofort? Weil die Provider i.d.R. regelmäßig die Inhalte des logs-Ordners aktualisieren, ältere Log-Dateien sind somit nicht mehr vorhanden! Und eine EDV-Beweismittelsicherung ist evtl. nicht mehr möglich, da alte Einträge überschrieben wurden.
Laden Sie per FTP besser noch SFTP (also über eine sichere Verbindung) mit Ihrem FTP-Programm (File Transfer Protokol-Software z.B. Yummy für Macintosh oder WS_FTP Pro für Windows) im Root Ihres Webservers den Ordner logs herunter.
In diesem befinden sich in der Regel
access.log-Dateien
und
error.log-Dateien.

2. Interpretieren Sie die log-Dateien:
Diese Serverprotokolle können Sie in einem Editor öffnen, wenn Sie die z.B. mehr als zigtausend Zeilen umfassende Liste besser lesen wollen, einfach den Inhalt in Excel kopieren, so ist alles zeilenweise aufgeräumt: die Inhalte wirken auf den ersten Blick kryptisch, sind aber relativ leicht interpretierbar:

Beispiel einer access.log-Datei, Zeile x von N-Zeilen:
Versuch eines unbefugten Login in Joomla, erkennbar am Angriff auf den Ordner /administrator/ (was auf dem Webserver gar nicht vorhanden ist! also sinnloser Versuch eines Hackers):

185.93.187.46 - - [02/Nov/2015:07:56:07 +0100] "GET /administrator/index.php HTTP/1.1" 301 856 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.85 Safari/537.36"

d.h. ein Angreifer mit der IP-Adresse 185.93.187.46 hat an folgendem Datum, 2.11.2015 um 7.56 Uhr (Timestamp des Unixservers) eine Browserabfrage per HTTP (also hypertext markup language protocol) abgesetzt, um eine index.php-Seite auf dem Webspace im Webroot namens Unterordner /administrator zu öffnen. Der o.g. Angreifer hat also gezielt auf dem Webspace nach Joomla-Dateien gesucht (administrator ist der Backend-Zugang zu Joomla).
Da die Datei auf dem Webserver per htacess-Datei gesperrt ist, wird die Fehlermeldung 301 (Zugriff verboten) ausgegeben.
Der Angreifer hat dabei folgenden Browser benutzt: Chrome, Version 45 auf Apple.

Ein weiteres Beispiel für den versuchten Einbau von Schadsoftware:

62.210.58.246 - - [02/Nov/2015:02:52:40 +0100] "POST /wp-includes/Text/Diff/Engine/wp_cache_483907951566.php HTTP/1.1" 404 55818 "http://ihredomain.de/wp-admin/admin-ajax.php" "Opera/9.80 (Windows NT 6.0) Presto/2.12.388 Version/12.14"

d.h. ein Angreifer mit der IP-Adresse 62.210.58.246 hat an folgendem Datum, 2.11.2015 um 2.52 Uhr (Timestamp des Unixservers) eine Browserabfrage per HTTP (also hypertext markup language) abgesetzt, um im Ordner wp-admin (wp steht für WordPress Content-Management-System) eine admin-ajax.php-Seite auf dem Webspace im Webroot zu öffnen, um in dem Unterordner wp-includes eine weitere php-Datei aufzurufen. Der o.g. Angreifer hat also gezielt auf dem Webspace nach WordPress-Dateien mit ggfs. vorhandenen Sicherheitslücken gesucht (wp-admin oder wp-login.php ist der Backend-Zugang zu WordPress).
Da die Datei nicht auf dem Webserver vorhanden ist, wird die Fehlermeldung 404 (nicht gefunden) ausgegeben.
Der Angreifer hat dabei folgenden Browser benutzt: Opera, Version 9.80 auf Windows NT, Presto ist dabei die vorherige Rendering-Engine des Webbrowsers Opera.

3. Handlungsempfehlungen:
Sperren Sie in Ihrem Blacklistmanager bzw. htaccess-Datei die betreffenden IP-Adressen, damit ein erneuter Angriff über diese nicht mehr möglich ist.

Laden Sie regelmäßig Fullbackups per SFTP (diverse rückwirkende Versionen) herunter, damit Sie im Schadensfall jederzeit Ihre Website wiederherstellen können, ein letztes Backup reicht oft nicht aus, da es auch von Schadcode befallen sein kann.

Beauftragen Sie ggfs. uns für ein Premiumwebhosting mit 5 oder mehr Tage rückwirkender externer Sicherung Ihrer Webprojekte.


Folgende Fortbildungen im Bereich IT-Security/Cybercrime können wir empfehlen:

19. Oktober 2015:
Thema Cybersecurity: Unsere Teilnahme an der Veranstaltung "Tech Days München Cybersicherheit" www.techdaysmunich.com und "Hacking für IT-Manager" von der Deutschen Post/Direktmarketing zeigt unser Engagement im Bereich Internetsicherheit: dieser intensive Workshop-Tag mit Experten aus dem Bereich der EDV-Sicherheit und IT-Forensik und das Livehacking sind für uns wichtige Fortbildungsmaßnahmen. Wir haben 10 Jahre Erfahrung mit Content-Management-Systemen (TYPO3) und langjährige Erfahrung mit Webhosting, vom Shared-Hosting zum Hochverfügbarkeitsserver.

Bei Fragen wenden Sie sich bitte per E-Mail oder telefonisch (0172 / 86 13 303) an uns.

Print Friendly, PDF & Email