Gehacktes Magento reparieren lassen
Content Management Systeme (CMS) für Onlineshops sind ein häufiges Angriffsziel für Cyberkriminelle, da sich hier potentiell wertvolle Daten wie Kreditkartennummern, Namen, Adressen und E-Mail-Accounts erbeuten lassen. Das quelloffene Magento steht als populärstes Shopsystem weltweit überdurchschnittlich häufig im Fadenkreuz von Attacken. Angesichts der vertraulichen Daten und der möglichen Folgen muss unverzüglich reagiert werden, sobald der Verdacht eines erfolgreichen Einbruchs besteht.
Schritt 1: Weitere unberechtigte Zugriffe auf die Webseite blockieren
Nach dem Eindringen in ein fremdes System legen Kriminelle in fast allen Fällen weitere Zugriffsmöglichkeiten (Backdoors) an, um nicht auf eine Sicherheitslücke angewiesen zu sein. Einer Whitelist für Netzwerkverbindungen unterbindet jegliche Kommunikation mit unbekannten Quellen. Alternativ oder zusätzlich schafft ein Passwortschutz über .htaccess für die vollständige Webseite Sicherheit. Die Domain sollte während der Reparatur auf einen unabhängigen Webspace mit einem Notfallsystem umgelenkt werden.
Schritt 2: Exakte Kopie des Systems erstellen
Hinweise auf die verwendete Sicherheitslücke, den Ablauf eines Angriffs und mögliche Backdoors sind in dem System verteilt und lassen sich nur durch eine gründliche Suche vollständig aufspüren. Für eine Analyse ist ein vollständiges 1:1 Back-up unverzichtbar, das unter anderem die originalen Zeitstempel (Timestamps) beinhaltet. Dieses lässt sich auf unterschiedlichen Weise erzeugen:
- Eine Kopie des gesamten Systems über FTP mit der Option "Keep Timestamps".
- (Empfohlen:) Das Erstellen einer mit zip, xz oder gzip komprimierten Kopie für den Download - entweder manuell über eine Shell wie SSH oder über das Webinterface von Werkzeugen wie Plesk, Webmin, DirectAdmin (DA) oder cPanel.
- Sicherung der verwendeten Datenbanken zum Beispiel mittels phpMyAdmin
In einigen Fällen schleusen die Täter Viren, Trojaner oder Schadsoftware wie Rootkits ein oder nutzen das CMS für deren Verbreitung. In solchen Fällen kann es notwendig sein, den Virenscanner während des Download zu deaktivieren.
Schritt 3: Aufspüren der Sicherheitslücke und Rekonstruktion des Angriffs
Um Risiken einer Infektion auszuschließen, eignen sich Linux-Betriebssysteme als Quarantäne-Umgebung, die durch Programme wie VMWare oder VirtualBox auf einer virtuellen, isolierten Hardware operieren. Wichtig für die Wiederherstellung eines sicheren Systems ist unter anderem, den Zeitpunkt der Infiltration möglichst exakt zu bestimmen. Dafür eignet sich ein systematisches Vorgehen, mit dem dieser eingekreist und jede spätere Änderung erkannt wird.
- Virenscan: Dieser spürt bekannte Schadsoftware auf und liefert bei positivem Resultat erste Hinweise auf Identität, Vorgehen und Ziele der Täter. Für das Aufspüren von Backdoors ist der Scan nur schlecht geeignet, da sich diese leicht in Systemprogrammen oder Skripten verstecken lassen.
- Dateisystem: In vielen Fällen lassen auffällige Timestamps auf den Ursprung eines Einbruchs schließen. Ein typisches Merkmal sind Veränderungsdaten bei einzelnen Dateien, die stark von den anderen in einem Verzeichnis abweichen. Falls die Parameter nachträglich korrigiert wurden, verrät eventuell der Eintrag des übergeordneten Verzeichnisses durch Unstimmigkeiten die Manipulation - etwa wenn dessen Änderungsdatum deutlich nach dem aller enthaltenen Dateien liegt. Ein weiterer Hinweis sind neu angelegte Dateien, für dessen Erstellung kein erkennbarer Grund existiert.
- Auswertung der Logs: Spezielle Tools bereiten die teilweise sehr umfangreichen Logdateien grafisch aus und suchen nach verdächtigen Einträgen. Interessant sind unter anderem massenhafte Login-Versuche, der Aufruf von manipulierten URL oder der Zugriff auf das Backend von eindeutig fremden IP-Adressen. Gelöschte Abschnitte verraten sich mitunter durch auffallend große Zeitabstände zwischen Einträgen.
- Datenbanken: Unbekannte Nutzer mit weitgehenden Rechten für den Zugriff können eine Backdoor darstellen, über die Angreifer kontinuierlich Daten stehlen.
Jetzt Webseite reparieren lassen
Schritt 4: Backups als Ausgangsposition für die Reparatur
Ist kein Backup vorhanden oder kann der Zeitpunkt der Infiltration nicht bestimmt oder eingegrenzt werden, muss die Existenz von Backdoors und Schadprogrammen wie Chatbots, E-Mail-Spammern oder Inhalten für Phishing und Spoofing zweifelsfrei ausgeschlossen werden. Ein effizienter Ansatz dafür ist der Vergleich des Dateisystems mit einer unveränderten Installation des Shopsystems und der Plug-ins. Anschließend erfolgt die Überprüfung des Inhalts jeder abweichenden Datei mithilfe von WinMerge, GTKdiff oder anderen Tools, die die Unterschiede zwischen beiden Versionen farblich markieren und hervorheben.