Gehackte Webseiten - Erkennen, Bewerten, Bereinigen

  • Hallo Freunde!


    Das Thema interessiert mich seit kurzem.
    Nein, ich bin nicht gehackt worden, meine Seiten sind alle sauber und auch meine Kundenseiten.


    Ich kenne die Links zu den 'Bereinigern' . Abarbeiten der Liste etc. Aber ich möchte gerne mehr Hintergrundwissen erlangen. Deshalb die Frage nach Tutorials, Videos, Dokumentation etc, nach der Vorgehensweise bei gehackten Webseiten. Wie vergleiche ich die gehackte Webseite mit einer frischen Joomla-Installation? Was ist, wenn (kostenpflichtige) Plugins, Module oder Extensions im Einsatz sind?


    Wie ist die richtige Vorgehensweise?


    Ich möchte hier keine Lösung erfragen, bitte aber um Tipps in die richtige Richtung.


    Und, nein, ich will kein professioneller Webseitenbereiniger werden. Einfach nur ein wenig in die Materie einarbeiten.


    Oder sagt ihr, dass ist ein langwieriger Prozess. Zu Aufwendig. Lohnt sich nicht bei nicht professioneller Seitenbereinigung.


    Danke.

  • Aber ich möchte gerne mehr Hintergrundwissen erlangen.


    Es könnte helfen, ab und zu die Exploit DB nach Joomla/-Erweiterungen zu durchsuchen, und dann in den eigenen Logs zu schauen, ob und in welchem Umfang Angriffe stattgefunden haben. Auf die Weise bekommst du ein Auge dafür, was legitime Log-Einträge sind, und was nicht.
    In Sachen DFIR (Digital Forensics/Incident Response) gibt es unter aboutdfir.com eine große Auswahl an Tutorials, Blogposts, Büchern, etc., allerdings nicht speziell auf Joomla zugeschitten.


    Wie vergleiche ich die gehackte Webseite mit einer frischen Joomla-Installation?


    Da kann ich dir Viktor Vogels »Checksum Scanner« ans Herz legen.


    Was ist, wenn (kostenpflichtige) Plugins, Module oder Extensions im Einsatz sind?


    Wie meinst du das?


    Wie ist die richtige Vorgehensweise?


    Grundsätzlich folgst du da den schon benannten Listen. Aus meiner Erfahrung kann ich nur sagen, dass ich sämtliche, versuchte und erfolgreiche, Hacks durch das Studium der Logs, und darauffolgendes Reverse-Engineering der gefundenen Dateien, aufgedeckt und bereinigt habe.

    • Hilfreich

    Der Checksum-Scanner ist ein Hilfsmittel


    http://www.joomlaportal.de/ver…mla-checksum-scanner.html


    Checksummen sind nicht eindeutig verlässlich.


    Über Logdateien zu glauben, alle Hacks finden zu können, ist ebenfalls nicht realistisch. Oft genug werden Hacks erst nach langer Zeit bemerkt und es sind gar nicht ausreichend Logdateien mehr verfügbar, je Provider unterschiedlich. Gibt sogar Pfeifen, die stellen gegen Gebühr die letzten 2 Wochen (LOL) zur Verfügung.


    Die letzten beiden "fiesen" Hacks erzeugen in Folge teils auch keine auffälligen Muster in den Logdateien. Und beim nötigen Durchsuchen der Datenbank braucht man wieder Know-How und Gespür, das nicht nach Schema F ist.


    Ich bleib dabei: Dateiinhalts-Abgleich, PHP-Kenntnisse, Joomla-Kenntnisse. Alles andere ist Beiwerk, mehr oder weniger hilfreich. Und, wenn man nicht abgleichen kann (Stichwort: kommerzielle), muss man eben reinschauen oder Erweiterung neu kaufen... Alles andere ist Lotterie mit viell. etwas besseren Gewinnchancen.

  • ... Ich bleib dabei: Dateiinhalts-Abgleich, PHP-Kenntnisse, Joomla-Kenntnisse ..


    Das ist der Hintergrund.


    Da ich mich gerade in diesen Bereichen (PHP, js, CSS, xhtml, XML, DB) weiterbilde(n)(lasse), wollte ich mir ein wenig Hintergrundwissen aneignen.


    Ich will (und brauche auch) nicht zur Zeit Webseiten bereinigen. Aber ich arbeite gerne für 'Später'.


    Man(n) weiß ja nicht, was noch so kommt! ;)


    Auch deine Hinweise nehme ich gerne mit!

  • Checksummen sind nicht eindeutig verlässlich.


    Die Wahrscheinlichkeit zweimal dieselbe Summe zu haben liegt bei 1 zu 2128 beim MD5-Algorithmus.



    Über Logdateien zu glauben, alle Hacks finden zu können, ist ebenfalls nicht realistisch. Oft genug werden Hacks erst nach langer Zeit bemerkt und es sind gar nicht ausreichend Logdateien mehr verfügbar, je Provider unterschiedlich.


    Deswegen durchsucht man seine Logs auch jeden Tag, und nicht erst dann, wenn es zu spät ist. Wenn du allerdings einen geglückten Hack aufklären sollst, ist natürlich klar, dass du nach hinzugefügten und veränderten Dateien suchst. Allerdings kommst du auch hier nicht ohne Logs aus, zum Beispiel dann nicht, wenn Core- oder Erweiterungsdateien verändert, und gleichzeitig das Änderungsdatum an die Umgebung angepasst wurde, und du nicht weißt, nach welchen Strings du in den Dateien suchen musst.


    Die letzten beiden "fiesen" Hacks erzeugen in Folge teils auch keine auffälligen Muster in den Logdateien.


    Nur nach Mustern zu suchen genügt nicht. Man sollte schon etwas genauer hinschauen, weshalb Kenntnisse der gängigen Exploit-Techniken und aktueller Sicherheitslücken und ihrer Ausnutzung (Exploit DB) von Vorteil sind.



    Und beim nötigen Durchsuchen der Datenbank braucht man wieder Know-How und Gespür, das nicht nach Schema F ist.


    Richtig.



    Ich bleib dabei: Dateiinhalts-Abgleich, PHP-Kenntnisse, Joomla-Kenntnisse.


    Ist auch wichtig, keine Frage.



    Alles andere ist Beiwerk, mehr oder weniger hilfreich.


    Nein, ohne eingehende Analyse der Zugriffslogs kannst du einen Hack weder vernünftig dokumentieren, noch aufklären. Dass einige Provider sich die Bereitstellung von Log-Dateien Extra kosten lassen, ist ein anderes Thema.

  • Ich leb halt auch in den Realitäten der Joomla-Wald-und-Wiesen-Installationen bei preisgünstigen Providern ;-)


    Nicht (mehr) existierende Logs können halt nicht ausgewertet werden. Ich habe nicht gesagt, dass ich es nicht trotzdem tue, mit denen, die es noch gibt.


    Checksum-Prüfung ist für mich im Rahmen der "Prävention" sinnvoll, so wie im oberen Link beschrieben, um ein Referenzssystem up-to-date zu halten, was Installationen/Deinstallationen und Versionen anbelangt. Kleines Helferlein für anstehende Dateiabgleiche bei "Audits für Arme" (gar nicht abwertend gemeint). Aber wer hat sich schon rechtzeitig ein sauberes Referenzsystem abgeschottet eingerichtet?


    Ich rede vom Schritt der BEREINIGUNG und da geht der direkte Dateiabgleich (sauber gegen infiziert) unterm Strich schneller, die passenden Tools vorausgesetzt. Direkte Anzeige von Unterschieden, direkte Kopier-, Verschieb-, Lösch-, Bearbeitungsmöglichkeit, Abarbeiten per Ausschlussverfahren. Festhalten von Diff-Dateien, wenns angebracht ist... Und während der anfänglich tatsächlich sehr viel länger dauernde Scan läuft, spül ich halt ab. Genug da ;-)


    Deswegen durchsucht man seine Logs auch jeden Tag, und nicht erst dann, wenn es zu spät ist.


    Leute, die sich hacken lassen, lesen keine Logs (oder umgekehrt)... Zurück zum ersten Satz ;-)