Webspace bei ALL-INKL gehackt - Virenfund im Account - Tipps

Foto © ALL-INKL.COM
Der ALL-INKL Virenscanner meldet Virenfunde? ALL-INKL ist einer der besten Webhoster in Deutschland mit vorbildlichem Malware Handling. Wie Sie die Account Sicherheit optimieren, nachdem der Webspace gehackt wurde (oder auch proaktiv), erfahren Sie hier.

Webspace gehackt - die Benachrichtigung vom Virenscanner

Sobald der Virenscanner von ALL-INKL einen Virus oder Schaddateien im Account findet, erhalten Sie diese Mail:

Sehr geehrte Damen und Herren,
Sie erhalten diese automatische E-Mail von unserem Virenüberwachungssystem.
Ihre E-Mail-Adresse wurde von Ihnen als Kontakt für den betreffenden Account hinterlegt.
* VIRENFUND *
Bei einem routinemäßigen Virenscan wurden in Ihrem Account wXXXXXXX (example.org) Dateien mit Schadcode gefunden. Um die Besucher Ihrer Webseite zu schützen, haben wir diese Dateien nach Möglichkeit umbenannt und gesperrt.
* URSACHEN *
Häufige Ursachen für Virenbefall im FTP-Account sind Sicherheitslücken in oft nicht aktualisierten Scripten wie CMS, Shop, Forum, Gästebücher usw., oder ein Befall mit Schadcode auf dem PC, mit dem die Webseite bearbeitet wurde.
* MASSNAHMEN *
Loggen Sie sich bitte umgehend in die technische Verwaltung Ihres Accounts ein und folgen Sie den Anweisungen im Menüpunkt "Wartungscenter".
* ACHTUNG *

Nicht alle Dateien konnten automatisch gesperrt werden. Bitte desinfizieren Sie diese manuell!

Entgegen vieler anderer Webhoster, die den gesamten Webspace bei einem erfolgreichen Hackerangriff sperren, sperrt ALL-INKL nur die Schadcode beinhaltenden Dateien. Das erleichtert die Absicherung und Instandsetzung des gehackten Accounts deutlich.

Angelehnt am Erstellungs- bzw. Veränderungsdatum der Virenfunde des Virenscanners wird sogar ein Backup Datum vorgeschlagen.
Achtung: Nur weil dem ALL-INKL Virus-Scan vorher keine Schaddateien aufgefallen sind, heißt das nicht zwangsläufig, dass das vorgeschlagene Backup sauber ist. Auch hier sollte noch eine genaue Prüfung vorgenommen werden.

Webspace Absicherung - Empfohlene Maßnahmen bei ALL-INKL

Neben der üblichen Maßnahmen nach einem Hackerangriff, sprich Backup Wiederherstellung, Runderneuerung oder Bereinigung der Webseite(n), sollten folgende Punkte bei ALL-INKL beachtet werden.

1. Access Logs mit langem Vorhaltezeitraum aktivieren

Damit ein Hack analysiert werden und nachvollzogen werden kann, was sich auf dem Webspace abgespielt hat, ist es wichtig, dass Access Logs vorliegen. Für die übersichtliche Aufbereitung von Accesslogs bietet sich unser Logfile Analyse Tool an. Stellen Sie im KAS unter Einstellungen -> Logs & Statistiken sicher, dass Logs erzeugt werden.
Der Screenshot zeigt die empfehlenswerten Einstellungen.

2. Datenbank Zugriff von extern verbieten

Gerade in den letzten Monaten zielen viele Hacks darauf ab, die Datenbank Zugangsdaten aus den Konfigurationsdateien der CMS auszulesen. Beispielsweise war es bei WordPress Sites in der Vergangenheit durch einige Plugin-Sicherheitslücken möglich, die wp-config.php auszulesen.

Wenn nun der Datenbank Zugriff von überall aus erlaubt ist (ehemalige Standard-Einstellung bei ALL-INKL), ist das eine kritische Schwachstelle.
Angreifer können durch direkten Zugriff von extern die Datenbank Inhalte beliebig manipulieren - User anlegen, schädliche Skripte oder Spamlinks einschleusen.

Stellen Sie daher unbedingt sicher, dass nur lokale Zugriffe auf die Datenbank möglich sind. Zudem sollten, nachdem der Webspace gehackt worden ist, immer sämtliche Datenbank Passwörter geändert werden.

3. Separierung der einzelnen Webseiten in Unteraccounts

Der letzte, jedoch mit Abstand wichtigste Sicherheitstipp ist, niemals mehrere Webseiten im gleichen Account zu betreiben. Wenn alles unter dem gleichen Systemuser läuft, reicht eine Sicherheitslücke in einer der Installationen aus, dass alle im gleichen Account befindlichen Webseiten gehackt werden können.

Bei ALL-INKL gibt es daher die Möglichkeit für jede einzelne Domain einen eigenen Unteraccount anzulegen.

Um die Isolation nachträglich vorzunehmen, steht im KAS ein nützliches Tool für die Account-Übertragung zur Verfügung. Die Isolierung kann durch folgende Schritte vollzogen werden:

1. Accounts -> + Neuen Account anlegen.
   
   • Im oberen Reiter "ohne Host" auswählen.
   • Domainname zwecks Zuordnung im Account-Kommentar eintragen.
   • Die Ressourcen entsprechend zuweisen.
2. Aus der Account Übersicht heraus in den neu erstellten Unteraccount einloggen.
3. Im Menü des neuen Unteraccounts  Tools -> Account-Übertragung -> FTP-Daten  öffnen.
   
   • Die FTP Zugangsdaten des Hauptaccounts eintragen.
   • Quellpfad der zu übertragenden Domain eintragen (für den Zielpfad der Einfachheit halber den selben Pfad nehmen).
   • Auf der nächsten Seite eine Bestätigungs-E-Mail Adresse eintragen für die Benachrichtigung über den erfolgreich abgeschlossenen Kopiervorgang.
4. Anschließend im Hauptaccount Tools -> Hosts verschieben  öffnen.
   
   • Aus dem Hauptaccount die Domain auswählen, die in den neuen Unteraccount verschoben werden soll.
     -> Damit wird die Domain nun mit dem Unteraccount konnektiert.
5. Falls nötig, den absoluten Serverpfad in Konfigurationsdateien anpassen.
   
   • Das wäre beispielsweise bei gängigen Caching Plugins nötig oder wenn Sie Joomla nutzen, wären $log_path und $tmp_path in der configuration.php anzupassen.
     (Der Serverpfad beginnt bei ALL-INKL mit /www/htdocs/wXXXXXX/...)
     
6. Das in den Unteraccount erfolgreich umgezogene Verzeichnis aus dem Hauptaccount löschen.
   

Die Datenbanken können für eine gute Komplett-Übersicht alle im Hauptaccount verbleiben. Der nachträgliche Umzug dieser in den Unteraccount ist nicht nötig - das hätte sicherheitstechnisch auch keinen Vorteil.

Alle der jeweiligen Domains zugeordneten Mailadressen ziehen durch "Hosts verschieben" vollautomatisch in den Unteraccount um und können von nun an nur dort verwaltet werden. Weitere Anpassungen sind nicht nötig. In dem Zuge sollte lediglich auf ein ausreichendes Kontingent bei der Unteraccount Ressourcen Zuweisung geachtet werden.

Mit diesen Best-Practices sind die Grundlagen für einen sicheren Webspace geschaffen. Falls mal etwas sicherheitstechnisch schiefgehen sollte und der Virenscanner anschlägt, werden die Auswirkungen gering gehalten. Wenn mehrere Webseiten im gleichen Hostingpaket betrieben werden, beugt die Separierung in Unteraccounts dagegen vor, dass der gesamte Webspace gehackt wird. Eine Virus Ausbreitung wird durch separate Systemuser effektiv verhindert.

Für Fragen und Anregungen kann gern die Kommentarfunktion genutzt werden.

Kommentare  

# MiLa 2020-12-14 18:06

Solche Seiten wie diese werden immer dann aufgerufen, wenn es schon gekracht hat. Und die Aufteilung in Unteraccounts habe ich vor 2 Monaten schon gelesen, dachte aber, was für ein Aufwand ... und dann lag da diese alte Testseite, die ich dummerweise vergessen habe bei den ständigen Updates und genau darüber hat sich jemand hergemacht.

Antworten

# Eric 2021-11-01 19:07

@MiLa
genau das ist mir auch passiert. Und genau das hatte ich mir auch damals gedacht.
Nun denn, die Arbeit lohnt sich im Nachhinein.

Antworten

Kommentarliste aktualisieren

Kommentar schreiben

• Zurück
• Weiter