Aktuell werden wohl auch viele FTP-Zugänge gehackt.
Ergebnis sind dann eins oder mehrere von:
- .htaccess Weiterleitung (je nach Ausführung nur für Besucher durch Suchmaschinen, damits der Seitenbetreiber nicht merkt).
Sofern die Seite ohne .htaccess nicht tut, merkt mans ggf daran, wenn der eigentliche Inhalt fehlt und die Seite nicht mehr richtig tut.
Gibt aber wohl auch Varianten, wo der vorhandene Inhalt Funktionsfähig bleibt.
- HTML-Code in HTML Dateien ändern (Unsichtbarer Iframe, der gerne Twitter heißt)
- PHP manipulieren (es wird recht geschickt das Ende von darin erzeugtem HTML gesucht und dort ggf auch der Twitter-Iframe eingesetzt).
Ist im letzten Monat auf verschiedenen Seiten bei verschiedenen Hostern aufgetreten.
Auch bei reinen HTML-Seiten, aber auch WP und Joomla.
In den ersten Versuchen wurde etwas FTP-Log ähnliches ins HTML gehauen. Der funktionierte der angriff wohl nicht so recht.
Daher:
- Keine unnötigen FTP-Zugänge offen haben. Bei manchen Servern/Hostern kann mans aus machen. Bei Synlogys o.ä. zuhause im Router die Ports ausmachen.
- Soweit möglich: Sperren bei mehrfachem falsch-Login einrichten, geht z.B. bei der Synology. Oder für Logins von Adminbereichen der CMS.
- Adminbereiche von CMS kann man meist zusätzlich per .htaccess Schützen.
- Niemals offenes oder öffentliches (verschlüsselt, aber jeder Hotelgast o.ä. hat dne Schlüßel) WLAN verwenden.
- Sichere Passwörter, am besten für FTP jeweils eigene, ab 20 Stellen und zufällige.
Irgendwie gibts keine Virensuch-Software für FTP (Download und Scan der FTP-Inhalte unter Windows).
- Derzeit teste ich ein PHP-Script, das eine Prüfsumme erzeugt. Ein Windows-Programm zur Erreichbarkeits-Prüfung von Webseiten kann das Script aufrufen und prüfen, ob dort der richtige Hashwert kommt. Funktioniert aber nur bei kleinerem Dateiumfang und auf eher statischen Seiten.
- Alternativ oder zusätzlich: Kann man mit dem Erreichbarkeits-Programm prüfen, ob die Seite an sich einen bestimmten Inhalt hat (was bei Umleitung dann nicht mehr ist).
- Dritte Möglichkeit sind Programme, die einen Benachrichtigen, wenn sich eine Webseite ändert (gedacht für Seiten ohne Newsletter/RSS). Schickt leider zwingend ne eMail, die dann ggf gleich den Schadcode einschleusen kann.
- Möglichkeit 4, auch nur für nicht zu Umfangreiche Seiten ist ein PHP-Script, das durch alle Dateien geht und verdächtigen Code sucht (z.b. eval, base64). Idealerweise hat man dazu ein sicheres System (Synology ohne Zugriff von außen), die das Script jeweils neu auf den zu testenden Server kopiert und dann ausführt.
Genaueres dazu kommt, wenn ich weiß, wie das am besten klappt.
Ggf hat/kennt wer noch bessere Methoden? Muss eben folgendes können:
- Per FTP von Windows aus, oder per PHP funktionieren.
- Mit großen Beständen funktionieren (also FTP und Windows)
- Am besten die Dateien nach bekanntem und/oder definierbarem Schadcode durchsuchen und nicht nur Änderungen vergleichen (damits auch für Seiten geht, die sich öfters ändern)
