kaffeeringe.de

WordPress nicht aktualisiert, gehackt, bei Google rausgeflogen

Ob das Motto „Never Change a Running System“ je­mals rich­tig war, lässt si­ch schwer be­ur­tei­len, im Bereich des Internets führt über­trie­be­ner Konservativismus oder Faulheit un­wei­ger­li­ch zur Katastrophe: Kaum ei­ne Site be­steht heu­te no­ch aus sta­ti­schen HTML-Seiten und so­bald Programmierung da­hin­ter­steckt, be­steht auch das Risiko ge­hackt zu wer­den. Wer sein System nicht ak­tu­ell hält, sieht schnell alt aus.Inzwischen lebt ei­ne gan­ze Branche vom heim­li­chen Ausnutzen frem­der Server: Ohne dass es der Webmaster be­merkt wird dann wei­te­re Software in­stal­liert, die zum Beispiel Spam ver­schickt.

Eine an­de­re Variante ist das Platzieren von ver­steck­ten Links auf be­lieb­ten Seiten. Wie das funk­tio­niert kann man beim Werbeblogger nach­le­sen: Über ei­ne be­kann­te Sicherheitslücke in ei­ner ver­al­te­ten Version der Blog-Software WordPress hat si­ch je­mand Zugriff auf die Inhalte der Site ver­schafft und dann Links in ei­ner Art in Artikel ein­ge­bun­den, dass sie im Browser nicht zu se­hen sind. Wohl aber neh­men Suchmaschinen die­se Links wahr und die wie­der­um er­rech­nen aus der Häufigkeit von Verlinkungen die Wichtigkeit von Inhalten. So pro­fi­tie­ren die Hacker von ih­ren ge­hei­men Links. Im Falle des Werbebloggers hat die­se nach Google-Richtlinien nicht er­laub­te Technik da­zu ge­führt, dass die ge­sam­te Site aus dem Google Index ge­flo­gen ist. Für ei­nen Shop oder ei­ne an­de­re kom­mer­zi­el­le Site kann so et­was schnell zu fi­nan­zi­el­len Katastrophe füh­ren.

Möglich sind Hackangriffe auf brei­ter Front durch die wei­te Verbreitung von ver­la­te­ten Open Source Systemen. Diese Projekte pfle­gen idea­ler­wei­se ei­nen of­fe­nen Umgang mit Sicherheitslücken: Wird ei­ne ent­deckt, gibt es in­ner­halb kür­zes­ter Zeit ein Update. Kaum ei­ne neue Version er­scheint, die nur mit neu­en Features da­her­kommt. In der Regel wer­den ne­ben be­kann­ten auch zu­fäl­lig ent­deck­te Lecks be­sei­tigt. Wer sein System al­so nicht ak­tu­ell hält, han­delt ähn­li­ch fahr­läs­sig, wie je­mand, der an sei­nem Auto nicht hin und wie­der die Funktionstüchtigkeit sei­ner Bremsen über­prüft.

Das klas­si­sche Defacement, in dem ei­ne Site über ei­ne be­kann­te Sicherheitslücke ge­hackt wird und die­se dann im Sinne des Hackers ver­än­dert wird, ist mitt­ler­wei­le das ge­rings­te Problem. Wenn man merkt, dass man ge­hackt wur­de, ist es kein gu­ter Hack.

Kommentare

stefano picco

so ist dat halt, aber schon är­ger­li­ch das man nun wie ein be­scheu­er­ter stän­dig patchen muß nicht nur off­line son­dern auch on­line -.-

Clemens

Ein sol­cher Hack ist schnel­ler pas­siert, als man denkt.
In mei­nem Fall war es ei­ne Galerieerweiterung für Joomla!, die ei­nen un­ge­si­cher­ten Dateiupload hat­te – schwupps hat man ei­ni­ge sog. PHP-Shells auf dem Server und ein Defacement auf der Seite.
Das Problem sind im­ho nicht die Hauptsoftwareversionen (weil die oft ei­ne Updatebenachrichtigung mit­brin­gen) son­dern schlecht pro­gram­mier­te oder kaum ge­pfleg­te 3rd-Party-Erweiterungen. Ein au­to­ma­ti­sches Update (wie z.B. für die Erweiterungen von Firefox) ist hier Gold wert.

Steffen

Automatische Updates sind Teil des Problems. Die be­nö­ti­gen näm­li­ch Schreibrechte für die Skripte auf dem Server. Dadurch wird es für Angreifer ein­fa­cher die ei­ge­nen Tools auf den Server zu schmug­geln.

Postnuke hat ja von PHPNuke den schlech­ten Ruf in Sicherheitssachen ge­erbt, hat si­ch aber ei­gent­li­ch ge­n­au des­we­gen von PHPNuke ab­ge­spal­ten, weil die Entwickler das System si­che­rer ma­chen woll­ten. Mittlerweile sind ei­ni­ge ziem­li­ch gu­te Sicherheitsansätze im­ple­men­tiert. Bei Joomla liegt das Problem tat­säch­li­ch schon im Kernsystem, dass jeg­li­che Art von Zugriffen un­ge­fil­tert zu­lässt.

Bei Postnuke hat man si­ch da­ge­gen ent­schie­den, au­to­ma­ti­sche Updates in der Form wie bei an­de­ren Systemen um­zu­set­zen. Stattdessen wer­den so we­nig wie mög­li­ch Verzeichnisse zum Schreiben ge­öff­net. Im Live-Betrieb be­nö­tigt man kein ein­zi­ges, das nach au­ßen er­reich­bar ist. Deswegen gibt es bei Postnuke auch kaum Meldungen über ge­hack­te Seiten. Und ich ha­be es in 5 Jahren no­ch nie er­lebt, dass ei­ne ak­tu­el­le Installation ge­hackt wur­de.

Außerdem traue ich Autoupdates bei Websites nicht. Da steckt meis­tens ne Menge Anpassungsarbeit drin. Und wenn man vor­her nicht zu­min­dest ein kom­plet­tes Backup macht, kann man ggf. al­les no­ch ein­mal ma­chen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Möchtest Du benachrichtigt werden, wenn Dir hier jemand antwortet?