ZDNet hat sich bei Webhostern erkundigt, welche Vorkehrungen sie treffen, was im schlimmsten Fall passieren kann und wie Betroffene reagieren sollten. Besonders auskunftsfreudig waren dabei die wenigsten Anbieter: Wer will schon zugeben, dass seine Kunden ständig Sicherheitsprobleme mit ihrer Webseite haben und dafür auch noch kräftig zur Kasse gebeten werden? Die Tatsache, dass überhaupt geantwortet wurde, ist daher schon fast ein Qualitätskriterium für sich.
Wichtig zu unterscheiden ist, auf welcher Grundlage die Website betreiben wird. Beim Homepage-Paket verwaltet der Provider den Server und ist dafür verantwortlich, bei virtuellen oder dedizierten Servern dagegen hat der Kunden vollen Root-Zugriff. Also liegt auch die volle Verantwortung bei ihm.
Handelt es sich um eines der Homepage-Pakete der Hoster, sind von diesen meist grundlegende Sicherheitsmaßnahmen eingebaut oder werden zumindest optional angeboten. Der Sitebetreiber sollte dennoch darauf achten, wenigstens die schlimmsten Schnitzer zu vermeiden. Wichtig ist etwa, ein vernünftiges Passwort aus einer Buchstaben-Zahlenkombination zu wählen und bei integrierten Mail-Formularen ein Captcha zu verwenden.
Hilfreich ist auch, die jeweils aktuellste Version der zur Programmierung verwendeten Tools einzusetzen, da sie bekannte Fehler weitgehend vermeiden. Außerdem sollten Dienste wie SSH oder FTP abgestellt werden, wenn sie nicht benötigt werden – was bei den Homepagepaketen meist über den Kundenservice möglich ist.
Strato beispielsweise vermarktet den Grundschutz als Strato SiteGuard. Dazu gehört laut Firmensprecher Lars Gurow ein Schreibschutz für den Webspace, so dass sich Skripte nicht verändern lassen. Auf Wunsch ist auch eine Benachrichtigung bei Schreibvorgängen möglich – was etwa sinnvoll ist, wenn mehrere Personen an der Site arbeiten dürfen.
Neueste Kommentare
8 Kommentare zu Website gehackt: Was tun im Fall der Fälle?
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Danke für Artikel. Habe Ihn durch google gefunden. Mir ist das selbe passiert. Plötzlich war meine Webseite gehackt. Ich habe hier von einer Sicherheitsfirma ein Werkzeug gefunden das kostenlos ist und sicher dem einen oder anderem Helfen wird.
Mit hat es geholfen.
dotcomsecurity.de/wordpress-antihacking/
Sehr nützlich ist auch der kostenlose Scanner von sucuri.net.
Wurde mir von website-bereinigung.de empfohlen, als auf meiner WordPress Seite immer wieder Schadcode eingeschleust wurde.
Es lag schließlich daran, dass meine FTP Daten per Trojaner aus den Filezilla XML Dateien ausgelesen wurden.
Das ist natürlich ein gefundenes Fresschen, als Seitenbetreiber sollte man unbedingt mal nach „Filezilla Kiosk Mode“ googlen, der die Passwortspeicherung verhindert.
Sicherheit testen
Nachdem meine Seite 3 mal gehackt wurde, habe ich diesen Service genutzt um herauszufinden wie die Hacker „eingebrochen“ sind. https://www.infected-web.de/
Es war erstaunlich was die alles bei mir gefunden haben. Seitdem war nichts mehr und meine Webseite ist sicher.
Linux benutzt, was?
Nun ja, Open Source. In alle Richtungen offen. ;-)
Manchmal denke ich, solche Software wird nur deswegen kostenlos verteilt, und von bestimmten (Hacker-) Kreisen wie dem CCC empfohlen, damit diese leichter in fremde Systeme eindringen können…
Also wer glaubt, nur „Open Source“ wäre sicher, und „Closed Source“ wäre unsicher, ist schon ganz schön naiv und brainwashed!
AW: Sicherheit testen
@Hans K.: Ich habe mit http://www.hackalarm24.com ebenfalls gute Erfahrungen gemacht. Die bieten neben dem vollständigen Check übrigens auch einen Hacküberwachungs-Service an. Das ist nicht schlecht: Wenn Verdacht auf einen Hackangriff besteht, kriege ich sofort eine SMS und kann gleich ein Backup einspielen. Seither ist Ruhe und endlich schlafe ich wieder ruhig :)
@Martin: Linux ist definitiv sicherer als Windows. Alleine schon wegen der Rechtevergabe im Dateisystem. Gegen Opensource spricht ja nichts, wenn man täglich Updates einspielt. Serveradmins machen das gewöhnlich. Bei CMS oder Blogs schauts schon anders aus. Webmaster nehmen es da nicht so genau mit den Updates. Ich sprech da aus Erfahrung.
Diese Website gibt es nicht mehr aber ich habe einen ähnliches gratis und sehr guten Website Malware Scanner gefunden das mir geholfen hat meine Webseite wieder zu säubern. http://www.websicherheit.at/web-security-check/
Alternative Automatische Erkennung
Zur Vermeidung von Hackerangriffen lässt sich auch das Projekt hackprot.com benutzen. Dieses scannt automatisch alle Anfragen und Filtert schädliche dabei aus. Auch lassen sich dort IP Adressen und einzelne Länder problemlos sperren. Also ich bin davon überzeugt.
Automatische Erkennung
Es geht aber schon lange nicht mehr nur um gezielte Hacks, Web-Würmer (z.B. PHP-Würmer) sind immer mehr im kommen und werden allmählich zu einem belastenden Problem für jeden Seitenbetreiber.
Eine griße Problematik ergibt sich auch mit der Tatsache, dass man meistens erst viel zu spät erkennt, dass die eigene Website oder Webshop gehackt wurde.
Hier ein Link zu einem interessanten Beitrag in meinem Blog, wo es um automatische Erkennung von Hackattacken geht:
http://www.ecommerce-blog.at/frontend/scripts/index.php?setMainAreaTemplatePath=mainarea_news.html&newsId=50