Wenn Sie Webanwendungen betreiben, könnte es manchmal zum unerwünschten Verhalten Ihrer Webseiten kommen oder Sie stellen plötzlich fest, dass der Zugang in den Administrationsbereich Ihres Redaktionssystems gesperrt ist. Es muss nicht immer gleich um technische Fehler handeln, sondern um zweckmäßige Server-Einstellungen, durch welche die Sicherheit der betriebenen Dienste erhöht wird. Nachstehend finden Sie die Erklärungen für die häufigsten Konflikte.
Malware auf dem Webhosting
Es kommt hin und wieder zu ärgerlichen Situationen, wenn Sie feststellen, dass Ihre Webseiten mit Malware infiziert wurden. Es geht um schädlichen Code, der auf betrügerischen Wegen in die Inhalte Ihrer Webseiten eingeschleust und anschließend zu Cyberangriffen, zum Spamversand oder zum Befall der PCs anderer Webseiten-Besucher ausgenutzt wird.
Die Malware wird meistens durch Sicherheitslücken im Code Ihrer Web-Anwendung eingeschleust. Am häufigsten entstehen solche Sicherheitslücken durch veraltete Versionen installierter Redaktionssysteme wie z.B. Joomla, Wordpress, OsCommerce usw. Deswegen ist es sehr wichtig, diese Systeme stets aktuell zu halten, einschließlich aller verwendeter Plugins und Webvorlagen.
Sollte es zum Malware-Befall Ihrer Webseiten kommen, empfehlen wir wie folgt vorzugehen:
- Aktualisieren Sie das verwendete Redaktionssystem (CMS) einschließlich aller Plugins und Vorlagen. Führen Sie die Aktualisierung regelmäßig durch - nutzen Sie die automatischen Aktualisierungen, die Ihnen diese Systeme bieten.
- Ändern Sie das Passwort des Administrationsbereichs Ihres CMS. Lassen Sie es sich nicht per E-Mail zusenden.
- Überprüfen Sie den Inhalt aller Dateien auf dem Server. Sollten unsere Sicherheitssysteme befallene Dateien entdecken, werden deren Endungen automatisch auf .malware umbenannt. Die Umbenennung schädlicher Dateien kann den Betrieb Ihrer Webseiten beeinträchtigen. Sie müssen jede dieser Dateien durchzugehen und daraus den Schadcode entfernen. Anschließend können Sie die Endung der bereinigten Datei wieder ändern. Unnötige Dateien müssen gleich entfernt werden.
Die Malware-Entwickler sind sehr erfindungsreich und können den Schadcode geschickt verbergen. Statt den gesamten Code durchzugehen und zu bereinigen, können Sie Ihre Webpräsentation eventuell aus einer Sicherungskopie vor dem Malware-Befall wiederherstellen. Ändern Sie sofort das Passwort für den Administrationsbereich des CMS und aktualisieren Sie es anschließend, einschließlich aller verwendeten Plugins und Vorlagen. Ohne diese Schritte ist es nur eine Frage der Zeit, bis die Malware auf Ihren Webseiten wieder aktiviert wird.
Eine Übersicht der Sicherheitslücken auf Ihren Webseiten können Sie eventuell online über einen Malware-Scanner erhalten z.B. sitecheck.sucuri.net. Bedenken Sie aber, dass solche Scanner nicht die gesamte Malware erkennen oder gar nicht.
CMS-Schutz vor Botnetz-Angriffen
Beim Zugriff auf die Administration von WordPress, Joomla oder auf eine andere ihrer Komponenten, z.B. Interface xmlrpc.php, kann manchmal eine zusätzliche Anmeldemaske erscheinen. Es geht hierbei um einen zusätzlichen Anmeldeschutz vor Botnetz-Angriffen. Beachten Sie den Hinweis auf der Anmeldemaske.
Geben Sie in die beiden Eingabefelder für den Benutzer und das Passwort folgende drei Buchstaben ein: cms
Danach melden Sie sich wie gewohnt mit Ihren richtigen Zugangsdaten in den Administrationsbereich des CMS ein.
Diese Schutzmaßnahme mussten wir aufgrund massiver Verbreitung von Angriffen auf E-Mail-Formulare und CMS-Komponenten einführen. Es handelt sich um Vorbeugung der Überlastungen und Ausfälle von Servern und gleichzeitig um Schutz vor unberechtigten Administrationszugriffen.
Auf diese Schutzmaßnahme werden Sie hauptsächlich nur dann stoßen, wenn Sie auf Ihre CMS außerhalb des Landes zugreifen, wo Ihr Hosting-Paket erwoben wurde.
Auf Wunsch können wir diese Schutzmaßnahme komplett abstellen, jedoch unter der Bedingung, dass das verwendete CMS zurzeit unter keinem Bots-Angriff steht bzw. wenn Sie es selber durch eine vergleichbare Schutzmaßnahme ersetzen z.B. durch die Einschränkung des Zugangs für bestimmte IP-Adressen oder durch ein eigenes Passwort über die Konfigurationsdatei .htaccess.
Diese Schutzmaßnahme ist bis auf weiteres dauerhaft eingerichtet. Sollten die Angriffswellen langfristig abklingen, werden wir die direkten CMS-Zugriffe wieder freistellen. Die Situation beobachten und werten wir permanent aus.
Der Suhosin Patch
Für die Sicherheit Ihrer PHP-Anwendungen kommt bei uns auf allen Linux-basierten Servern der PHP-Patch Suhosin zum Einsatz. Es handelt sich um ein fortgeschrittenes Schutzsystem für PHP-Installationen, das die Server und die Benutzer vor Fehlern in PHP-Anwendungen und im PHP-Kern schützt. Die Server-Sicherheit wird somit erhöht und eine ganze Reihe von Missbräuchen der Webanwendungen verhindert. Der Suhosin Patch leistet sehr gute Dienste, kann jedoch in einzelnen Fällen die Funktionalität der Webseiten beeinträchtigen.
Sollte es Ihnen einmal passieren und Sie können es nicht über entsprechende Anpassungen seitens Webanwendung in den Griff bekommen, können Sie den Suhosin Patch mit nachfolgender Direktive in der Konfigurationsdatei .htaccess abstellen:
php_flag suhosin.simulation On