Hi,

Welche HTML-Befehle sind denn gefährlich und sollten nicht vorkommen?

Es gibt immer noch eine „HTML-Befehle“ - und es gibt auch keine per se gefährlichen Elemente, die pauschal auszufiltern wären.

Analysiere, wie der Hack stattgefunden hat, und dichte die Lücke ab.
Halte dabei auch gleich nach potentiellen Lücken Ausschau.

Aber doktore nicht sinnlos an Symptomen herum.

MfG ChrisB

Hello,

Welche HTML-Befehle sind denn gefährlich und sollten nicht vorkommen? Spontan fällt mir ein:

HTML-Anweisungen können keine Gefahr für die Dokumente auf dem Server darstellen, denn sie werden ja erst im Client aktiv. Die Frage muss also lauten: wurden Deine Dokumente auf dem Webservcer verändert?

Dies kann üblicherweise nur durch Arbeiten auf dem Host selber oder durch Uploads geschehen. Zum Arbeiten auf dem Host benötigt der "Hacker" eine Shell auf dem Host oder einen infizierten Prozess, der ihm eine Quasi-Shell dann stellt. Wahrscheinlicher ist ein gehackter FTP-Zugang, bei dem das Passwort zu einfach war oder noch wahrscheinlicher ist ein kaputtes Upload-Script, ein Form-Mailer mit Attachmentmöglichkeit, oder sonst irgendeine Möglichkeit, über die Dateien oder Teile davon auf den Server gelangen können.

Eine weitere Möglichkeit stellen unüberlegte Includes in PHP-Dokumenten dar.

Diese berühmt-berüchtigte Methode, sich eine Menusteuerung mittels PHP zu bauen, ist odt die Ursache:

index.php?site=name_des_zu_includierenden_scriptes

Findet an dieser Stelle zwischen "name_des_zu_includierenden_scriptes" und dem tatsächlichen Namen auf dem Datenträger keine beschränkte Übersetzung statt, dann kann ein Angreifer dort meistens auch

index.php?site=url_des_fremdscriptes

einsetzen und schon ist der frende Code aktiv auf dem Server. Von nun an gehört der Server im Rahmen der PHP-Möglichkeiten dem Hacker. Und die sind vielfältig!

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg

Moin!

nun hat es mich auch erwischt. Eine meiner Homepages wurde gehackt und es wurde ein Javascript installiert, das Malware von einem anderen Server nachlädt. Hab natürlich erstmal alles plattgemacht, Kennwörter geändert und neu installiert. Und nun überlege ich, was man da noch so tun kann.

Hast du analysiert, wie der Hack Erfolg haben konnte?

Da man einen erfolgreichen Hack wohl nicht 100% verhindern kann

Natürlich kann man einen Hack nie zu 100,00 Prozent ausschließen. Aber man kann entweder nichts oder sehr viel für die Sicherheit tun. Wenn du gehackt wurdest, hast du bislang offenbar nichts für die Sicherheit getan.

Alleroberstes Gebot für Sicherheit sind sichere Passwörter. Ein sicheres Passwort ist mindestens 8, lieber 10 Zeichen lang, ist kein Wort einer menschlichen Sprache, auch kein Name, enthält kleine und große Buchstaben und Zahlen, gerne auch noch Satzzeichen, und sieht hinreichend "zufällig" aus. Ideal, wenn es tatsächlich mit einem Zufallsgenerator erzeugt wurde.

Noch schöner als ein Passwort für die Zugangskontrolle sind Krypto-Protokolle mit Public-Key-Authentisierung. Das ist vor allem beim SSH-Zugang von Vorteil, denn ein Account, der gar nicht mit Passwort zugänglich ist, kann mit Passwort auch nicht gehackt werden.

Der zweite Punkt: Stetige Aktualisierung von eingesetzter Standardsoftware. Also alles, was man als Blog, Forum, Board, Gästebuch, Uploadskript, Mailer etc. aus typischen Standardquellen bezieht, sollte immer topaktuell gehalten werden. Denn die Angreifer können mit einer simplen Google-Suche herausfinden, welche Softwareversion auf welcher Domain eingesetzt wird - und schlagen genau dann zu, wenn dafür eine Sicherheitslücke bekannt wird.

Wenn diese beiden Punkte beachtet werden, hat man schon mal deutlich mehr für seine eigene Sicherheit getan, als die meisten Hobbywebmaster. Und ist deshalb ein deutlich unattraktiveres und sehr viel kleineres Ziel, deshalb unwahrscheinlicher von erfolgreichen Angriffen betroffen.

Die Wahrscheinlichkeit, dass eine Sicherheitslücke in selbstgeschriebenen Skripten erfolgreich ausgenutzt werden kann, ist zwar gegeben - aber deren Ausnutzung ist viel unwahrscheinlicher, weil für solche eigenen Skripte keine auf HTTP basierenden Sicherheitsscanner nur sehr schwierig automatisiert herausfinden können, ob du angreifbar bist.

Das entbindet dich natürlich nicht von der Notwendigkeit, sichere Skripte zu schreiben, die man nicht mißbrauchen oder hacken kann, aber die Wahrscheinlichkeit, dass darüber tatsächlich ein böser Angreifer Malware platziert, würde ich als eher gering ansehen.

Das allergrößte Einfallstor sind schwache Passworte!

- Sven Rautenberg