Sicherheitssystem zur Erkennung und Bereinigung von Schadcode auf gehackten Joomla-Webseiten und Wordpress-Webseiten: FI-App und FileInspector

Das Sicher­heits-Tandem:
FI-App und FileInspector

Unser Sicherheitssystem FI-App und FileInspector zur Erkennung und Bereinigung von Schadcode auf gehackten Joomla- und Wordpress-Webseiten sind das ideale Paar auf dem Weg zur sorgenfreien Homepage!

Online-Sicherheitssystem FI-App für Ihre Wordpress- und Joomla-Website


FI-App (=FileInspector-App) durchsucht automatisch und zeitgesteuert (z.B. einmal in jeder Nacht) alle Dateien einer Joomla- oder Wordpress-Installation direkt auf dem Server und erkennt Schadcode. Eine solche Suche von Hand durchzuführen, ist aufgrund der rund 10 000 Dateien eines Webseiten-Systems praktisch nicht möglich.

Einige Webhoster bieten Systemdateien-Scans an; diese sind aber in der Regel nicht auf dem hohen Sicherheitsniveau, das unsere FI-App bietet. Denn FI-App ist individuell an Ihr Onlinesystem anpassbar und bietet damit den entscheidenden Vorteil gegenüber den Sicherheits-Tools Ihres Webhosters, welche einer Vielzahl gängiger Onlinesysteme genügen müssen und damit notwendigerweise eine geringere Sicherheitsstufe fahren.

Im Fall eines Schadcode-Fundes alarmiert FI-App per E-Mail und sendet den Befund gleich mit. Anschließend können geeignete Maßnahmen zur Abwehr ergriffen werden: Nach Ihrer Beauftragung an uns erfolgt die anschließende Offline-Analyse und Bereinigung gehackter Webseiten mit unserem Sicherheits-Tool FileInspector, welches wir für solche Fälle entwickelt und optimiert haben.

Die zusätzliche Sicherheit der FI-App bieten wir zu einem vernünftigen Preis an:
Die Ein-Jahres-Lizenz beträgt 100 € zuzügl. gesetzlicher MWSt.

Offline-Analyse-Tool FileInspector


Wenn Ihre Webseite gehackt wurde, helfen wir Ihnen mit unserem Offline-Analyse-Tool FileInspector.

Der FileInspector beinhaltet mehrere von uns entwickelte Analysemethoden. Damit spüren wir systematisch Schadcode in gehackten Webseiten-Installationen auf. Eine Suche von Hand nach Schadcode ist bei rund 10 000 Dateien eines Webseiten-Systems praktisch nicht durchführbar. So finden wir Schadcode, welcher in systemeigene Dateien injiziert wurde, effizient und zuverlässig. Ebenso werden neu hochgeladene Schadcode-Dateien zuverlässig gefunden.

Wenn auf Ihrem Webspace oder Webserver parallel zu Ihrer Wordpress- oder Joomla-Installation unser Online-Sicherheitssystem FI-App installiert ist, alarmiert es uns bei einem Schadcode-Fund per E-Mail und sendet den Befund gleich mit. Anschließend ergreifen wir mit Hilfe des FileInspector geeignete Maßnahmen zur Abwehr.

Hinweis: Die Analyse und Bereinigung Ihrer gehackten Webseite mit dem FileInspector wird nach Aufwand berechnet.



Wenn Sie jetzt eine Jahres-Lizenz des Sicherheitssystems FI-App für Ihre Webseite kaufen möchten, klicken Sie auf Kontakt und schreiben Sie uns eine E-Mail oder rufen Sie uns an!



Screenshots FileInspector

Mit dem Fileinspector bereinigen und reparieren wir gehackte kompromittierte joomla wordpress Internetseiten

Mit dem Fileinspector bereinigen und reparieren wir gehackte kompromittierte joomla wordpress Internetseiten

FAQ und technischer Hintergrund

Warum ist meine Seite gefährdet?

Jede Internetseite ist potentiell gefährdet! Das Internet ist kein sicherer Ort. Deshalb ist es generell ratsam, Ihre Internetseite gegen Angriffe aus dem Internet abzusichern.

Leider wähnen sich viele Betreiber kleinerer Webauftritte in falscher Sicherheit: „Ich habe nur eine kleine Internetseite für meinen Verein, für mein kleines Unternehmen. Dafür interessieren sich Hacker doch nicht.“

Falsch! Denn fast alle Angriffe auf eine Internetseite sind überhaupt nicht persönlich gemeint. Hinter ihnen steckt nicht mal ein Mensch: Nahezu alle Angriffe werden vollautomatisch von Hackersoftware ausgeführt, einem sogenannten Exploit. Der Angriff wird dabei gleichzeitig von tausenden Rechnern — einem Botnet — gegen eine Vielzahl von Internetseiten gestartet. Ein Botnet besteht aus sehr vielen Rechnern, die ihrerseits zuvor gehackt wurden und nun von einem sogenannten command and control-Server aus ferngesteuert werden.

Zur Veranschaulichung der Dimension ein konkretes Beispiel aus unserem Alltag als Internetdienstleister: Ein von uns beobachteter Brute-Force-Angriff erfolgte mit einer Frequenz von 80 Angriffen je Minute im 12-stündigen Zeitraum des Maximums.

Das Ziel dieser Angriffe sind dabei nicht etwa Informationen, die auf Ihrem Serverplatz gespeichert sind. Sondern es geht vielmehr darum, Ihren Serverplatz zu kapern, um darauf Schadsoftware zu installieren. Gelingt dies, wird Ihr Serverplatz selbst Teil eines Botnets oder zur Spam-Mail-Schleuder. Nichtsahnende Besucher Ihrer Seite könnten sich Erpressungs-Malware (Ransomware) — wie z.B. Locky — einfangen. Eher schon eine veraltete Art und Weise wäre es, Ihren Serverplatz als Umleitungsstation zur Verschleierung von Aufrufen illegaler Webseiten oder anderen kriminellen Machenschaften im Internet zu benutzen.

Im Untergrund des Internets (Darknet) werden Botnets und Exploit-Kits „zur Miete“ angeboten, die es auch technisch völlig Unbedarften ermöglichen, ihren illegalen Tätigkeiten nachzugehen. Wer wissen möchte, wie dieses Geschäftsmodell — auch technisch — funktioniert, kann dies im Artikel „Einbruch mit Komfort“ der Fachzeitschrift c’t erfahren.

Sie sehen: Die Annahme, die eigene Internetseite sei zu uninteressant für einen Angriff, verleitet zu fahrlässigen und fatalen Versäumnissen im Hinblick auf die unbedingt notwendigen Sicherheitsvorkehrungen. Denn jeder im Internet erreichbare Server – egal ob von einem Brieftaubenverein oder einem internationalen Konzern – wird automatisiert angegriffen.
Dies ist die traurige Situation, die wir auf Grundlage eigener Erfahrungen konstatieren müssen.

Hilfe, meine Internetseite ist gehackt, was mache ich jetzt?

Es ist erforderlich, Ihre Webseite offline zu nehmen, zu analysieren, zu bereinigen und die Systemdateien zu reparieren. Falls noch nicht geschehen, muss ein Update des Systems und aller Erweiterungen durchgeführt werden. Erfolgte ein Update auf die neueste Version bereits vor dem Hack, müssen alle Systemdateien trotzdem erneuert werden. Anschließend müssen alle Zugangs-Passwörter neu gesetzt werden. Um zukünftige Angriffe zu erschweren, müssen nicht zuletzt auch die Sicherheitsvorkehrungen maßgeblich erhöht werden. Sind alle diese Maßnahmen erfolgt, kann Ihre Seite wieder online gehen.

Für diese Maßnahmen ist viel Erfahrung notwendig. Sie können sich nicht allein auf die Mitteilungen Ihres Webhosters verlassen.

Wir helfen Ihnen gerne bei diesen Arbeitsschritten, mit unserer Erfahrung und unseren Tools FileInspector und FI-App, welche wir speziell zur Analyse und Bereinigung kompromittierter Internetseiten und Content-Management-Systeme (CMS), wie z.B. Joomla und Wordpress, entwickelt haben.

Bedenken Sie:
Reparieren Sie Ihre Internetseite nur notdürftig so, dass sie vermeintlich gerade wieder läuft, dann bleibt ihre Seite mit großer Wahrscheinlichkeit eine ferngesteuerte Zombie-Installation, die ohne Ihr Wissen munter Schadcode im Internet verbreitet.

Warum ist es unbedingt erforderlich, eine gehackte Seite zu bereinigen?

An einem konkreten Beispiel möchten wir die Folgen eines Angriffs auf verwundbare Installationen von Content-Management-Systemen (CMS) aufzeigen und außerdem deutlich machen, dass dadurch viele andere Rechner in Gefahr geraten. Grundsätzlich sind alle CMS betroffen, so ist Wordpress das derzeit mit Abstand beliebteste Angriffsziel.

Kurz vor Weihnachten 2015 startete eine bis dato beispiellose Angriffswelle gegen Joomla-Installationen, die sich gezielt eine zero-day-Lücke zunutze machte. Hektisch wurden vom Joomla-Team innerhalb weniger Tage drei Updates hintereinander veröffentlicht, bis die Lücke endgültig geflickt war. Doch da war es für sehr viele Installationen schon zu spät. Das LKA Niedersachsen ermittelte im Februar 2016, dass die damals akute Verbreitungswelle der Erpressung-Malware TeslaCrypt auch über etliche der zuvor gehackten Joomla-Installationen an Besucher dieser Internetseiten lief.

Wir haben den Angriff auf Joomla von Weihnachten 2015 genauer analysiert. Es zeigte sich, dass Schadcode teilweise in Dateien injiziert wurde, die regulärer Bestandteil des CMS-Kerns oder von Erweiterungen sind. Auch neu eingeschleuste Schadcode-Dateien haben wir identifiziert. Viele von ihnen versuchen sich dadurch zu tarnen, dass sie dieselben Namen besitzen wie CMS-Systemdateien.

Für eine Bereinigung ist es keineswegs ausreichend, nach Dateien mit unbekanntem Namen zu suchen. Ganz abgesehen davon, dass es ein aussichtsloses Unterfangen wäre, in vielen (Unter-) Ordnern und vielen tausend Dateien den Schadcode durch Augenscheinnahme finden zu wollen.

Auch das Installieren aktueller Updates für ein CMS selbst und für alle installierten Erweiterungen beseitigt oft nicht den injizierten Schadcode, wie im oben verlinkten Beitrag zur Verbreitung von TeslaCrypt bestätigt wird.

Der Schadcode hat zur Folge, dass das kompromittierte CMS mit zwei verschiedenen grundlegenden Methoden ausgenutzt werden kann:

  1. Es wird eine Hintertür eingebaut, über die der Angreifer jederzeit Vollzugriff auf die Dateistruktur des CMS auf dem Server hat. So kann er eine sogenannte Payload, also z.B. ein Paket Erpressungs-Malware, auf den Server hochladen und die Dateien des CMS so manipulieren, dass Rechner von Seitenbesuchern damit infiziert werden.
  2. Dateien des CMS werden auf eine Weise manipuliert, dass in die übliche HTML-Ausgabe, die das CMS generiert, eine beliebige Weiterleitung auf eine andere Internetadresse injiziert wird. Oft geht es von dort über weitere Umleitungen letzten Endes auf eine bösartige Seite. Diese Weiterleitungen sind unsichtbar, sie werden in versteckten iFrames ausgeführt — klassisches Cross-Site-Scripting.

Da wie eben aufgezeigt viele gehackte Seiten zwar auf den aktuellen Stand aktualisiert, aber nicht korrekt bereinigt werden, lauern im Netz viele Zeitbomben und warten nur darauf, aktiviert zu werden.

Welche zusätzliche Sicherheit bietet FI-App?

Unser Online-Sicherheitssystem FI-App ist ein Frühwarnsystem. Sein Name leitet sich von unserem bewährten Offline-Analysetool FileInspector ab. FI-App durchsucht alle Dateien eines Content-Management-Systems (CMS) direkt auf dem Server und findet Schadcode in Systemdateien sowie neu hochgeladene Schadcode-Dateien, welche bei einem Angriff in die Dateistruktur des CMS injiziert wurden. Im Fall eines Schadcode-Funds alarmiert FI-App per E-Mail und sendet den Befund gleich mit. Auf diese Weise ermöglicht FI-App eine optimale Incident Response Time.

Einige Webhoster bieten Systemdateien-Scans an; diese sind aber in der Regel nicht auf dem hohen Sicherheitsniveau, welches unsere FI-App bietet. Denn FI-App ist individuell an Ihr Onlinesystem anpassbar und bietet damit den entscheidenden Vorteil gegenüber den Sicherheits-Tools Ihres Webhosters, die einer Vielzahl gängiger Onlinesysteme genügen müssen und damit notwendigerweise eine geringere Sicherheitsstufe fahren.

Was kostet FI-App?

Die zusätzliche Sicherheit der FI-App bieten wir zu einem vernünftigen Preis an:
Die Ein-Jahres-Lizenz beträgt 100 € zuzügl. gesetzlicher MWSt.

Was kostet die Bereinigung meiner gehackten Seite?

Je nach Angriffsszenario gestaltet sich die Analyse und Bereinigung individuell und erfordert somit einen unterschiedlich hohen Aufwand. Diesen Aufwand rechnen wir nach einem festen Stundensatz ab.

Die Analyse und Bereinigung einer gehackten Webseite muss gründlich und mehrstufig durchgeführt werden. Dabei müssen unterschiedliche Aspekte untersucht werden, wie z.B. Veränderungen von Systemdateien, neu hochgeladene Schadcode-Dateien oder Analysemuster von bekanntem Schadcode. Ein Content-Management-System besteht aus rund 10 000 Dateien unterschiedlicher Dateitypen, die alle analysiert werden müssen.

Eine hundertprozentige Erfolgsgarantie für das Auffinden von Schadcode in einer zuvor kompromittierten Content-Management-System-Installation können wir aus rechtlichen Gründen nicht geben. Nicht in unserem Einflussbereich liegen darüber hinaus Fehler (Bugs) im Programmcode des CMS selbst und in der den CMS zugrunde liegenden Skriptsprachen, wie z.B. PHP oder JavaScript.

Systemvoraussetzungen

FI-App durchsucht alle rund 10 000 Dateien einer Joomla- oder Wordpress-Installation direkt auf dem Webserver. Deshalb sind bestimmte Mindestanforderungen an die Systemressourcen des Servers notwendig. In der Regel stehen diese Mindestvoraussetzungen heute bereits für erschwingliche Webpakete kleinerer und mittlerer Größe zur Verfügung.

Darüber hinaus ist es auch aus Gründen der Seitenaufbau-Geschwindigkeit nicht ratsam, ein Content-Management-System, wie z.B. Wordpress oder Joomla, auf einem Webpaket mit nur geringen Systemressourcen zu betreiben.

joomla wordpress schutz

Kontakt

Sie sind an unserem Sicherheitssystem FI-App/FileInspector interessiert und haben Interesse, Näheres darüber zu erfahren? Sehr gern!

Nehmen Sie Kontakt zu uns auf! Schreiben Sie uns eine E-Mail an

info@uppercase-design.de

oder rufen Sie uns an unter der Telefonnummer

0551 382 75 44

Gerne vereinbaren wir mit Ihnen einen Termin, um Ihre Fragen zu beantworten.

Impressum

Wolfgang Webermann
Calsowstraße 1a
37085 Göttingen

Telefon: +49 (0)551 382 75 44
Mobil: +49 (0)175 175 59 17
E-Mail: webermann@uppercase-design.de


Roland Laich
Burgstraße 48
37073 Göttingen

Telefon: +49 (0)551 996 14 51
Mobil: +49 (0)176 20 05 55 56
E-Mail: laich@uppercase-design.de
UST-ID: DE814886887



Bildnachweis

  • Sliderbild 1: © roongrote / Fotolia
  • Sliderbild 2: © xiaoliangge / Fotolia
  • Sliderbild 3: © Wolfgang Webermann, Göttingen – UPPERCASE design
  • Sliderbild 4: © vladimircaribb / Fotolia
  • Symbolbild Schutzschilde: Auf Grundlage von © jpgon / Fotolia

Datenschut­zerklärung

Wir freuen uns über Ihren Besuch auf unserer Webseite. Der Schutz Ihrer Daten ist uns ein besonderes Anliegen. Wir werden Ihre Daten stets nur im Rahmen der Grenzen des Bundesdatenschutzgesetzes und der Datenschutz-Grundverordnung verwenden. Falls Sie durch einen Link auf eine andere Website gelangen, dann nutzen Sie bitte die dortigen Informationen zum Datenschutz. Auf die Datenschutzpraxis der anderen Seitenbetreiber haben wir keinen Einfluss.

Verantwortlich für die Verarbeitung Ihrer personenbezogenen Daten sind:

Wolfgang Webermann
Calsowstraße 1a
37085 Göttingen
Telefon: +49 (0)551 382 75 44
E-Mail: webermann@uppercase-design.de

Roland Laich
Burgstraße 48
37073 Göttingen
Telefon: +49.(0)551.996 14 51
E-Mail: laich@uppercase-design.de


1. Ihre Rechte
2. Datenerhebung und -verarbeitung bei Besuch unserer Website
3. Wahrung der Privatsphäre
4. Kontaktaufnahme


1. Ihre Rechte

Sie haben das Recht auf Auskunft, Berichtigung, Löschung („Recht auf Vergessenwerden“) und Einschränkung der im Folgenden näher beschriebenen Verarbeitung Ihrer Daten im Rahmen der Art. 15- 18 DS-GVO. Sie haben das Recht auf Übertragbarkeit Ihrer Daten gemäß Art. 20 DS-GVO. Sie haben das Recht des Widerspruchs, insbesondere gegen die Verarbeitung Ihrer Daten für Zwecke der Direktwerbung und gegen eine Verarbeitung, die wir aufgrund berechtigter Interessen vornehmen im Rahmen des Art. 21 DS-GVO. Sie haben ferner das Recht sich bei einer Aufsichtsbehörde zu beschweren, für uns ist dies: Die Landesbeauftragte für den Datenschutz Niedersachsen Barbara Thiel, Prinzenstraße 5, 30159 Hannover, Telefon: +49 (0511) 120 45 00, Telefax: +49 (0511) 120 45 99, E-Mail: poststelle@lfd.niedersachsen.de.


2. Welche Daten werden beim Besuch unserer Seite erhoben?

Wenn Sie unsere Internetseite besuchen, werden auf dem Server unseres Webhosters einige Daten Ihres Besuchs in sogenannten Logfiles protokolliert. Diese sind:

  • die Internetadresse (IP-Adresse) des aufrufenden Nutzers
  • der verwendete Browser und das Betriebssystem des aufrufenden Rechners
  • die aufgerufenen Unterseiten
  • Datum und Zeit des Aufrufs
  • die Methode des Seitenaufrufs (z.B. GET = normaler Seitenaufruf, POST = typischerweise Senden von Formulardaten)
  • falls existent die sogenannte Referrer-Adresse (= die zuvor besuchte Seite, die zu unserer Seite führte, z.B die Ergebnisliste einer zuvor getätigten Suche oder eine andere Seite, die unsere aufgerufene Seite verlinkt)
  • sowie das Ergebnis des Seitenaufrufs (z.B. korrekt an den aufrufenden Browser übermittelt: 200, Seite nicht gefunden: 404)
Darüber hinaus werden von uns bzw. unserem Webhoster keine weiteren Daten bei Ihrem Besuch unserer Seite erhoben. Diese Daten werden nicht zusammengeführt und lassen daher keine Rückschlüsse auf bestimmte Personen zu.
Wir nutzen diese Daten zur anonymisierten statistischen Auswertung um unsere Webseite und ihre Inhalte zu optimieren und um die Funktionsfähigkeit sicherzustellen. Ihre statistische Auswertung gibt uns Aufschluss darüber, welche Unterseiten gerne gelesen werden, wie sich der tägliche Verlauf der Besuche verteilt, welche Suchbegriffe in Suchmaschinen eingegeben wurden, die zu unserer Seite führten, ob Sie unsere Seite direkt aufgerufen haben oder ob Sie einem bestimmten Link folgten, der auf unsere Seite verweist, welches Betriebssystem und welchen Browser Sie benutzen und deren Version.
Außerdem dient die temporäre Speicherung dem Schutz unserer IT-Systeme und hilft damit den Schutz der von uns verarbeiteten Daten sicherzustellen und ggf. um den Strafverfolgungsbehörden im Falle von Angriffen auf unsere IT-Systeme die nötigen Informationen zur Verfügung stellen zu können. Dies sind unsere berechtigten Interessen im Sinne des Art. 6 Abs. 1 lit. f) DS-GVO. Die Daten unserer Server-Logfiles speichern wir getrennt von ggf. anderen personenbezogenen Daten. Sie werden gelöscht, soweit diese zur Erfüllung des mit der Speicherung verfolgten Zwecks nicht mehr erforderlich sind oder wenn ihre Speicherung aus sonstigen gesetzlichen Gründen unzulässig ist.
Die von Ihnen bei Besuch unserer Website erhobenen Daten werden auf den Servern unseres Hostproviders in unserem Auftrag verarbeitet. Die Server befinden sich innerhalb der EU.
Unser berechtigtes Interesse an der Nutzung dieses Dienstes im Sinne des Art. 6 Abs. 1 lit f) DS-GVO ist die störungssichere Ausgabe und Darstellung unseres Webangebots, sowie die Wahrung der Informationssicherheit.


3. Wahrung der Privatsphäre

Da uns die Wahrung der Privatsphäre wichtig ist, verwendet unsere Seite keine Analyse- und Trackingdienste wie z.B. Google Analytics, Matomo oder Facebook-Buttons. Der Link zu unserer Facebookseite ist aus diesem Grund ein normaler Weblink (mit einer Grafik) ohne Facebook-eigener Tracking-Funktion. Aus den gleichen Erwägungen verwendet unsere Seite keine Cookies.


4. Datenverarbeitung bei Anfragen per E-Mail

Wenn Sie uns eine E-Mail schreiben, verarbeiten wir die dort von Ihnen freiwillig mitgeteilten personenbezogenen Daten (z.B. Ihren Name und Ihre E-Mail-Adresse) um Ihre Anfrage zu beantworten. Wir löschen oder sperren Ihre Daten, soweit diese zur Erfüllung des mit der Speicherung verfolgten Zwecks nicht mehr erforderlich sind, wenn ihre Speicherung aus sonstigen gesetzlichen Gründen unzulässig ist oder wenn Sie Ihrerseits die Löschung oder Sperrung Ihrer Daten verlangen. Unser berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit f) DS-GVO ist es, den Besuchern unserer Website die Kontaktaufnahme zu erleichtern. Die Daten verarbeiten wir innerhalb der EU.
Wir weisen darauf hin, dass bei der Kommunikation per Email die vollständige Datensicherheit nicht gewährleistet werden kann. Bei unverschlüsselten E-Mails besteht trotz Transportverschlüsselung die Möglichkeit, dass diese von unbefugten Dritten zur Kenntnis genommen werden können.