Tipps & Tutorials

Wie Sie auf Malware-Attacken richtig reagieren - Tipps für Agenturen und Freelancer


Veröffentlicht am 14.01.2021 von DomainFactory

Einer Ihrer Kunden installiert in seiner TYPO3-Installation eine populäre Erweiterung, die eine kritische Schwachstelle aufweist: Sie erlaubt einem nicht authentisierten Angreifer die Remote-Ausführung von SQL-Injection-Angriffen. Die Schwachstelle wird von Kriminellen entdeckt, aber geheim gehalten und daher nicht geschlossen (Zero-Day-Exploit).

Die Folgen ohne Sucuri

Weil die Extension Benutzereingaben – zum Beispiel in einem Formular – nicht korrekt prüft und bereinigt, können Hacker darüber böswillige SQL-Kommandos einschleusen und ausführen. So gelingt es den Kriminellen, Zugangsdaten für ein Admin-Konto des Kunden auszulesen und seine Webseite mit SEO-Spam-Code zu infizieren. Unter anderem verteilen sie auf den Seiten z.B. Keywords wie „viagra“, „cialis“ und „tadalafil“ und legen auf dem Server verschiedene Dateien ab. Mit Hilfe dieser Daten werden Nutzer von Suchmaschinen auf dubiose Online-Apotheken weitergeleitet und Spam-E-Mails verschickt. 

TYPO3 ist etwa im Vergleich zu WordPress seltener von Malware betroffen, sodass auf Kundenseite niemand mit einem Vorfall wie diesem rechnet. Lange Zeit bleibt der Angriff unentdeckt, weil die Seite für normale Besucher unverändert aussieht – der SEO-Spam-Code ist nur für Suchmaschinen-Bots sichtbar. Bald erscheinen die Seiten bei Google-Suchen nach Viagra und Co. auf den vorderen Rängen; wer auf die entsprechenden Links klickt, landet allerdings bei einer Online-Apotheke. 

Nach einiger Zeit wird die komplette Domain auf Googles Blocklist gesetzt. Der Webtraffic bricht ein, immer mehr Kunden fragen nach, was los sei. Der Kunde sieht das Kundenvertrauen und sein Image erheblich gefährdet und alarmiert Sie als Webdienstleister und fordert schnellstmöglich Hilfe. Sie als Dienstleister beauftragen daraufhin einen Dritten mit der Behebung der Infektion, weil Ihnen dafür zum Beispiel selbst die Ressourcen fehlen. Eine häufige Konsequenz: erst mehrere Wochen nach dem Hack wird die Webseite bereinigt – der Kunde aber weigert sich, den entstandenen Aufwand zu ersetzen. 

Die Lösung mit Sucuri

Dank regelmäßiger Malware-Scans erkennt Sucuri schon bald nach dem Hacker-Angriff die Infektion und benachrichtigt Sie als Webdienstleister. Sie beauftragen sofort Sucuri mit der Bereinigung der Website und können sich dann entspannt zurücklehnen.

Für die Security-Profis ist der Fall zunächst Routine: In 2019 waren 62 Prozent der von Sucuri bereinigten Websites mit SEO-Spam infiziert. Bei näherer Inspektion finden sie aber zusätzlich zum SEO-Spam auch eine Backdoor und Fernsteuerungsmöglichkeiten, mit denen die Kriminellen noch größeren Schaden anrichten könnten. Anhand der Logfiles erkennen die Experten von Sucuri den genauen Zeitpunkt der Infektion und stellen mit Hilfe der von Sucuri angelegten Backups eine saubere Installation wieder her. Zudem sorgen sie dafür, dass sämtliche Blocklistings rückgängig gemacht werden. 

Dann gleichen sie die installierten TYPO3-Extensions mit Sucuris Vulnerability-Datenbank ab, um die Quelle der Infektion ausfindig zu machen. 

Zwei Millionen SQLI-Angriffe blockt die Sucuri Firewall pro Jahr – aber absolute Sicherheit gibt es auch hier nicht, gerade bei Zero-Day-Attacken

Bis zum Erscheinen eines Updates für die Extension kann die beschriebene Sicherheitslücke zum Beispiel per Virtual Patching geschlossen werden.

Mit diesen Sicherheitsfunktionen von Sucuri können Sie auf Angriffe direkte reagieren oder verhindern Attacken bereits im Vorfeld

Intrusion Detection: Malware-Scans, Bereinigung und Blocklisting-Schutz

Sucuri überprüft regelmäßig alle Webseiten auf Anzeichen für Kompromittierungen (Indicators of Compromise, IOC) und informiert bei Problemen den Betreiber oder Sie als Agentur. 

Überwachung

  • Malware-Infektionen (Remote & Server Side Scans)
  • Website-Verfügbarkeit 
  • SEO-Spam 
  • Blocklist-Status 
  • SSL-Zertifikate
  • DNS-Einstellungen

Professionelle Reaktion

  • Sorgfältige Reparatur durch erfahrene Analysten
  • Wiederherstellung der vollen Funktionsfähigkeit
  • Nachhaltige Bereinigung aller Webseiten
  • Entfernen von Malware, Backdoors und SEO-Spam
  • Gestützt auf umfassende Threat Intelligence
  • Rückgängigmachen von sämtlichen Blocklistings
  • Schnelle Reaktion – nach 30 Minuten im Tarif „Express“

Backups: Sicherung und Wiederherstellung

Auf Wunsch speichert der Backup-Service von Sucuri 90 Tage lang sämtliche Website-Dateien und Datenbanken außerhalb der Hosting-Infrastruktur und unerreichbar für Hacker und Malware. So kann im Notfall – z. B. nach einer Bereinigung oder einem Defekt – mit wenigen Mausklicks eine funktionsfähige Version wiederhergestellt werden.

 Für den Notfall gerüstet

  • Automatische Backups für 90 Tage
  • Täglich, wöchentlich, monatlich
  • Hochsichere Infrastruktur
  • Exakte und komplette Wiederherstellung einer sauberen Installation

Erfahren Sie mehr über die Vorteile von Sucuri Website Security für Agenturen in unserem Whitepaper. Zum kostenlosen Download

Sucuri Website Security gibt es bei DomainFactory - Jetzt informieren!

Meine Webseite wurde gehackt - was tun? - Tipps vom DomainFactory Support

Der Autor:


Als Qualitätsanbieter überzeugen wir mit HighEnd-Technologie und umfassenden Serviceleistungen. Mit mehr als 1,3 Millionen verwalteten Domainnamen gehören wir zu den größten Webhosting-Unternehmen im deutschsprachigen Raum.