Monthly Archives August 2013

Malware auf der eigenen Webseite

Eigentlich könnte man denken, dass Virenbefall eine Sachen aus den dunklen Zeiten der PC-Ära sei und schon gar nicht die eigene Webseite oder den eigenen Webspace betreffen könnte. Leider stimmt das so nicht und durch eine handvoll Ursachen können übel gesonnene Zeitgenossen das eigene System und Weltbild ins Wanken bringen.

Ursachen für Malware auf der Webseite können u.a. folgender Art sein:

  • Das eigene Entwicklungssystem ist schlecht gegen Viren und Malware geschützt. Der schädliche Code wird über den eigenen PC „eingeschleppt“.
  • Veraltete Software auf dem Entwicklungssystem ermöglicht es eigentlich schon geschlossene Lücken auszunutzen. Editoren und Programme, die zum Server verbinden, sollten deshalb regelmäßig upgedatet werden.
  • Das gleiche gilt für schlecht gewartete CMS und Systeme am Server. Auch hier kann über offenen Lücken Schad-Code eingepflegt werden.
  • Da FTP-Verbindungen nicht zwangsläufig über gesicherte Verbindungen erfolgen, können Passwörter abgefangen und ausgelesen werden. Ein Zugriff auf den Server ist dann möglich.

Ist die eigene Webseite befallen ergeben sich daraus vorrangig zwei Probleme:

  • Die Webauftritte werden früher oder später von einschlägigen Sicherheitsfirmen indiziert und als potenziell oder tatsächlich gefährlich eingestuft. Am schlimmsten, da es praktisch die größte Auswirkung hat, ist, wenn Google die Seite im Rahmen seines Safe Browsing Programms auf die Blacklist setzt. Chrome, Firefox und eine große Anzahl von Sicherheitsfirmen weisen die Webseite dann als potenziell gefährlich aus. Der durchschnittliche User sollte und wird diesem Hinweis Glauben schenken, weshalb aus der Perspektive des Webmasters es umso wichtiger ist dieser Sicherheitsbedrohung so schnell als möglich nachzugehen.
  • Die eigenen Webauftritte werden zur Malware-Schleuder und werden zum oft unerkannten Problem für Besucher der Seite. Schädliche Software kann dann bei Besuchern ausgeführt werden.

Die Ursache des Malware-Befalls ist möglicherweise nicht eindeutig nachvollziehbar. Insofern sollten folgende einfache Maßnahmen bei Malware auf der eigenen Seite getroffen werden:

  • Die betroffenen Seiten offline nehmen.
  • Das eigene System auf Vordermann bringen. So nicht bereits installiert, sollten umfangreiche Scans mit mehreren Programmen durchgeführt werden. Es empfehlen sich folgende Gratis-Tools (Windows):
    • ccleaner löscht Cache und temporäre Dateien von Browsern und System. Damit werden anschließende Scans schneller und potenzielle Malware-Herde vorab bereinigt.
    • Sophos Virus Removal Tool findet Viren, Spyware, Rootkits und gefälschten Virenschutz. Der Vorteil ist, dass es neben bestehender Antiviren-Software für einen einmaligen Scan eingesetzt werden kann.
    • Emsisoft Emergency Kit hilft gegen Viren, Trojaner, Spyware, Adware, Würmer, Dialer, Keylogger und anderen schädlichen Programme.
    • Malwarebytes Anti-Malware bekämpft – nomen est open – Malware.
    • Avira Free Antivirus ist als klassische Antivirensoftware mit Echtzeit-Scanner sinnvoll, um im Alltag den Rechner sauber zu halten.
    • Last but not least: Firewall aktivieren.
  • Mögliche Schwachstellen des bisherigen Setups vermeiden:
    • Um im Speziellen die Ausführung von JavaScript Schadcode zu vermeiden sollte im Browser JavaScript bis zur Behebung der Ursache deaktivert werden.
    • Nicht mehr benötigte (FTP/SSH/etc.) Zugänge löschen.
    • Passwörter der verbliebenen Zugänge ändern.
    • Nur sichere Verbindungen nutzen.
    • Passwörter in verwendeten Systemen (CMS, etc.) ändern.
    • Editoren deinstallieren und neu installieren bzw. updaten.
    • FTP-Clients deinstallieren und neu installieren bzw. updaten.

Sind diese einfachen Sicherheitsmaßnahmen umgesetzt, gilt es den Status quo des Schadens zu ermitteln. Dabei ist das Problem, dass man sich einigermaßen im Blindflug befindet. In der Regel wird man nämlich durch Mails von Provider oder Sicherheitsfirmen darauf aufmerksam gemacht, dass es verdächtigen Code auf den eigenen Seiten gibt. Im schlimmsten Fall kommt beim Ansteuern der Seite eine kaum zu übersehende Warnung. Einen umfassenden Scan aller Dateien oder detaillierte Information über die Hintergründe bieten diese Methoden nicht.

Um deshalb eine Idee zu bekommen, was das Problem sein könnte, helfen die Online-Analysen von folgenden Anbietern:

  • virustotal.com hilft zu beurteilen, welche Security-Anbieter die eigene Seite als Malware einstufen. An die 40 Anbieter werden abgefragt und aufgelistet. Zusätzliche Informationen geben Aufschluss über die einzelnen Beurteilungen (bspw. „Sophos domain information: The URL host was subjected to threat Troj/Iframe-JH.“) und bieten teilweise Links zu den detaillierten Analysen der Security-Unternehmen an. Ein guter Ausgangspunkt, um zu den einzelnen Reports für weitere Details zu gelangen.
  • Quttera ist eines dieser Unternehmen, die im Weiteren detaillierte Berichte zur Verfügung stellen. Bei Befall gibt es einen guten Einblick unter welchen Adressen bzw. in welchen Dateien der Code auftritt. Der Nachteil von Quttera ist, dass die Ergebnisse gecacht sind und nicht jedesmal neu generiert werden.
  • Sucuri bietet hier mit aktuellen Analysen eine Alternative, wenngleich nicht immer alle Ergebnisse mit Quttera übereinstimmen. Besonders hilfreich ist die gute Übersichtlichkeit.
  • Web Inspector und Wepawet schlagen in die selbe Kerbe und können zur weiteren Analyse dienen.

Nun kann man den Schädlingen der Kampf angesagt werden:

  • Als brutalste Maßnahme kann man (wenn die betroffenen Seiten nicht mehr benötigt werden) den Webspace löschen.
  • Wird die Seite weiterhin benötigt, wird man im Idealfall sodann ein aktuelles, unverseuchtes Backup einspielen.
  • Sollte dem (völlig unerwarteterweise) nicht so sein, muss der Server-Content lokal durchpflügt werden. Dazu empfiehlt es sich die Dateien vom Server runterzuladen. Mit einem passenden Editor, der in Dateien suchen kann, wird nach Code Ausschau gehalten, wie er zuvor von Sicherheitsanbietern wie Quttera oder Sucuri identifiziert wurde. Beispielsweise könnte das Javascript eine immer gleiche Form haben, wodurch es leicht zu finden ist. Klassische Hacks dabei sind:
    • Script-Tags, die Schadsoftware nachladen
    • .htaccess Redirects, die zu üblen Webseiten weiterleiten
    • Versteckte iframes, die Content von Dritt-Servern nachladen
    • Siehe dazu auch die Tipps von stopbadware.org, um schadhaften Code zu identifizieren.
  • Der betreffende Code ist zu löschen und die Datei neu abzuspeichern. Ein Scan mit den vorhin genannten Virenprogrammen schafft zusätzliche Sicherheit. Danach kann die Datei zurück auf den Server gespielt werden.

Kann man sicher gehen, dass die eigenen Webauftritte wieder sauber sind, besteht nach wie vor das Problem, dass Google und andere die Webseite auf der schwarzen Liste haben. Um Google vom Gegenteil zu überzeugen muss die betreffende Seite in den Google Webmaster Tools registriert sein. Damit ist es möglich einen erneuten Review der Seite anzustoßen. Wird dabei von Google keine Malware gefunden, wird sie von der Blacklist entfernt. Für andere Anbieter ist es möglich bei stopbadware.org einen Review-Prozess anzustoßen. Wird keine Malware gefunden, übernehmen manche Anbieter die Einschätzung von stopbadware.org.

Als Prophylaxe kann man einige einfache Maßnahmen setzen:

  • Regelmäßige Backups machen
  • Server-Software laufend am letzten Stand halten
  • Software am Entwickler-Rechner am letzten Stand halten
  • Regelmäßige Scans nach Viren und Malware am Entwickler-Rechner
  • Nur wirklich benötigte Programme und Komponenten am Server belassen
  • Sichere Verbindungen verwenden
  • Verzeichnisse von CMS am Server mit Passwort-Schutz versehen (bspw. Verzeichnis „wp-admin“ bei WordPress)
  • Starke Passworte verwenden und regelmäßig wechseln
  • Ein unverseuchtes System pflegen, um es im Schadensfall zur Verfügung haben (bspw. eine virtuelle Maschine)