Kundencenter Wissensdatenbank Sicherheit Auf meinen Server wurde Schadcode/Malware platziert, was kann ich tun?

Auf meinen Server wurde Schadcode/Malware platziert, was kann ich tun? Drucken

  • maleware, security, sicherheit
  • 0

Was ist passiert?

Ein Angreifer hat sich eine Sicherheitslücke innerhalb Ihrer Server-Inhalte zu Nutze gemacht und hat parallel zu Ihren Anwendungen, weitere sogenannte Schadcode-Dateien eingeschleust. Diese Dateien werden in der Regel zu verschiedensten illegalen Aktivitäten von einem unbekannten Angreifer genutzt.

Aufgrund dessen kommt es oft vor, dass die ausliefernde Domain zu diesem Zeitpunkt bereits in diversen Blacklisten (z.B. Google, McAfee, Norton) als potenziell-gefährdend eingestuft wird und somit eine echte Gefahr für jeden Seitenbesucher darstellt.

Was muss ich tun?

Sollten uns derartige Aktivitäten auf Ihrem Server bekannt werden, informieren wir Sie hierzu per E-Mail und bitten Sie um zeitnahe Kontaktaufnahme über das Supportsystem, welches Sie in Ihrem Kundencenter-Login finden. Teilen Sie uns dort bitte Ihre geplanten oder womöglich bereits durchgeführten Gegenmaßnahmen mit.

In den meisten Fällen entstehen derartige Probleme durch unsichere PHP-Skripte und CGIs. Oft ist es ausreichend, die eingeschleusten Applikationen (nach Erstellung einer Datensicherung) zu entfernen und die unsicheren Skripte zu löschen oder abzusichern. Sie sollten also zunächst Ihr System nach Schwachstellen durchsuchen und herausfinden, auf welchem Wege schädliche Skripte eingeschleust wurden.

Manchmal treten diese Probleme auch auf, wenn Ihr Server von einem Angreifer übernommen "gehackt" und root/Administrator-Zugang erlangt wurde. Dies ist u.a. möglich, wenn Sicherheitslücken in Diensten bestanden, die nicht durch Updates behoben wurden.

Kontrollieren Sie den Netzwerkverkehr mit geeigneten Anwendungen (z.B. ntop) oder den zur Verfügung stehenden Bordmitteln (z.B iptables). Schauen Sie sich ebenso das „syslog" Ihres Servers an und überprüfen Sie auch die laufenden Prozesse Ihres Servers.

Bitte bedenken Sie von Anfang an unbedingt, dass alleiniges Löschen der platzierten Schadcode-/Malware-Dateien die eigentliche Ursache dieses Sicherheitsvorfalles nicht bekämpfen wird. Gehen Sie bitte davon aus, dass Ihr CMS/PHP-Skript (z.B. Joomla/WordPress/Drupal usw.) durch eine darin befindliche Sicherheitslücke manipuliert und nachhaltig an unbekannter Stelle verändert wurde. Verpasste Sicherheitsupdates nachträglich einzuspielen löst die Problematik leider ebenso wenig, da der Schadcode im Vorfeld platziert wurde. Auf kürzlich erstellte Backups sollten Sie ebenso verzichten, da die Sicherheitslücke zum Zeitpunkt der Datensicherung womöglich schon ausgenutzt wurde. Wir empfehlen Ihnen aus den genannten Gründen die durchgreifende Änderung relevanter Passwörter (z.B. FTP/MySQL), sowie eine saubere Neuinstallation des verwendeten CMS/PHP-Skriptes in der aktuellsten Version. In diesem Zusammenhang sollten alle nachträglich installierten Erweiterungen/Plugins und ganz besonders auch Templates auf deren Herkunft/Quelle/Vertrauenswürdigkeit von Ihnen überprüft werden.

Wer kann mir helfen?

Wenn Ihr Server von einem Administrator erstellt/verwaltet wurde, involvieren Sie ihn unbedingt.

Häufig kommt es vor, dass die Sicherheitslücke beim Hersteller Ihrer im Einsatz befindlichen Software schon längst bekannt ist. Es empfiehlt sich daher immer die Recherche über einschlägige Suchmaschinen oder die Nutzung eines Forums das in der Regel vom Software-Hersteller selbst oder von der Community gepflegt wird.

Was muss ich in Zukunft beachten?

Achten Sie bitte auf die Aktualität Ihres Server Betriebssystems und natürlich auch auf die Aktualität der im Einsatz befindlichen CMS-/PHP-Skripte. Nutzen Sie stets die als „stable“ eingestuften Versionen von PHP, MySQL usw..


War diese Antwort hilfreich?

« Zurück