Da ich ja ein Content Management System geschrieben habe und es doch noch einige, trotz eingestellter Entwicklung, sowie eingestelltem Support, weiter benutzen, weiße ich nochmal ausdrücklich darauf hin, bei jedem neuartigen Hackangriff nachzuschauen, ob man selbst betroffen ist.
Ich habe mich für das CMS ausführlicher mit der Sicherheit von PHP-Scripten beschäftigt, kann aber nicht gewährleisten, dass ich immer an alles gedacht habe und ob ich überhaut alle möglichen Sicherheitslücken kenne.
Man muss sich allgemein vor Injektionen, meist SQL-Injektionen, eingeschleust über die URL, schützen. Nicht zu verharmlosen sind aber auch die Dateirechte auf dem Server.
Hier nochmal im Überblick (geringsten Rechte: 0000, höchsten Rechte: 0777):
- Dateien, nur lesen: max. Rechte 0444
- Dateien, nur lesen, außer für “Eigentümer”: max. Rechte 0644
- Dateien, die von PHP/FTP beschrieben werden sollen/können: max. Rechte 0666
- Ordner, die gelesen/ausgeführt werden können, Schreibrechte für “Eigentümer”: max. Rechte 0755
- Ordner, mit denen PHP/FTP arbeiten darf: max. Rechte 0777
“Eingentümer” ist entweder der FTP-Client oder PHP, wenn die Datei mittels PHP und z.B. der Funktion fopen() erstellt wurde.
analytics-google.info ist nicht von Google Analytics!
Bei dem Statistikangebot von analytics-google.info handelt es sich um Malware. analytics-google.info schleußt in den letzten Tagen massenweise ein typisches Google urchin.js-JavaScript über Sicherheitslücken auf Seiten im Internet ein.
Anscheinend wird über SQL-Injektionen und Dateien auf dem eigenen Server, die zu hohe Rechte besitzen, dieses JavaScript zu dem bereits bestehenden Code auf der Hauptseite hinzugefügt.
Dieses JavaScript bewirkt, dass Besucher, die durch eine Suche bei Google auf die eigene Seite gekommen sind, automatisch zu analytics-google.info weitergeleitet werden. Dabei werden die Suchbegriffe von der Google-Suche mit übernommen. Bei dem “neuen” Suchergebnis wird man dann über Affiliate Partnerprogrammen zu anderen Seiten weitergeleitet.
Es findet dadurch ein Besucherklau statt. Weitere Auswirkungen durch den Hacker-Angriff sind noch nicht bekannt. Wenn aber bereits Code auf die Hauptseite eingeschleust werden konnte, ist es kein Ding, noch andere “Marken” auf dem Server zu hinterlassen oder Passwörter auszuspähen.
Wie erkenne ich, dass meine Seite durch analytics-google.info gehackt wurde?
Indem man auf der Hauptseite (Index) nach einem JavaScript sucht (Bei Firefox: Strg + F: “<script”), welches man nicht selbst hinzugefügt hat, oder welches nicht vom System erstellt wurde. Dieses Script enthält Funktionen mit sehr langen, kryptischen Zeichenketten.
Wenn die eigene Seite gehackt wurde, sollte man:
- sofort alle Dateien entfernen, ggf. vorher sichern und dabei auf Vieren prüfen,
- die Datenbank sichern (Vorsicht!) und dann die Online-Datenbank löschen,
- alle Passwörter, die mit dem Internetauftritt zu tuen haben, ändern,
- die Sicherheitslücke über die Log-Liste analysieren und schließen
- und erst dann den beseitigten oder noch besser neuen Code wieder hochladen.
Quelle: homepage-forum.de