Moin!

nun hat es mich auch erwischt. Eine meiner Homepages wurde gehackt und es wurde ein Javascript installiert, das Malware von einem anderen Server nachlädt. Hab natürlich erstmal alles plattgemacht, Kennwörter geändert und neu installiert. Und nun überlege ich, was man da noch so tun kann.

Hast du analysiert, wie der Hack Erfolg haben konnte?

Da man einen erfolgreichen Hack wohl nicht 100% verhindern kann

Natürlich kann man einen Hack nie zu 100,00 Prozent ausschließen. Aber man kann entweder nichts oder sehr viel für die Sicherheit tun. Wenn du gehackt wurdest, hast du bislang offenbar nichts für die Sicherheit getan.

Alleroberstes Gebot für Sicherheit sind sichere Passwörter. Ein sicheres Passwort ist mindestens 8, lieber 10 Zeichen lang, ist kein Wort einer menschlichen Sprache, auch kein Name, enthält kleine und große Buchstaben und Zahlen, gerne auch noch Satzzeichen, und sieht hinreichend "zufällig" aus. Ideal, wenn es tatsächlich mit einem Zufallsgenerator erzeugt wurde.

Noch schöner als ein Passwort für die Zugangskontrolle sind Krypto-Protokolle mit Public-Key-Authentisierung. Das ist vor allem beim SSH-Zugang von Vorteil, denn ein Account, der gar nicht mit Passwort zugänglich ist, kann mit Passwort auch nicht gehackt werden.

Der zweite Punkt: Stetige Aktualisierung von eingesetzter Standardsoftware. Also alles, was man als Blog, Forum, Board, Gästebuch, Uploadskript, Mailer etc. aus typischen Standardquellen bezieht, sollte immer topaktuell gehalten werden. Denn die Angreifer können mit einer simplen Google-Suche herausfinden, welche Softwareversion auf welcher Domain eingesetzt wird - und schlagen genau dann zu, wenn dafür eine Sicherheitslücke bekannt wird.

Wenn diese beiden Punkte beachtet werden, hat man schon mal deutlich mehr für seine eigene Sicherheit getan, als die meisten Hobbywebmaster. Und ist deshalb ein deutlich unattraktiveres und sehr viel kleineres Ziel, deshalb unwahrscheinlicher von erfolgreichen Angriffen betroffen.

Die Wahrscheinlichkeit, dass eine Sicherheitslücke in selbstgeschriebenen Skripten erfolgreich ausgenutzt werden kann, ist zwar gegeben - aber deren Ausnutzung ist viel unwahrscheinlicher, weil für solche eigenen Skripte keine auf HTTP basierenden Sicherheitsscanner nur sehr schwierig automatisiert herausfinden können, ob du angreifbar bist.

Das entbindet dich natürlich nicht von der Notwendigkeit, sichere Skripte zu schreiben, die man nicht mißbrauchen oder hacken kann, aber die Wahrscheinlichkeit, dass darüber tatsächlich ein böser Angreifer Malware platziert, würde ich als eher gering ansehen.

Das allergrößte Einfallstor sind schwache Passworte!

- Sven Rautenberg