In letzter Zeit hört man immer häufiger von “gehackten” Foren. Was ist zu machen, wenn es Dein Forum erwischt hat? Wie musst Du nun vorgehen? Diese kurze Anleitung soll Dir dabei helfen, die richtigen Schritte auf dem Weg zum Relaunch zu gehen.
Eines sollte Dir klar sein: wenn Dein Forum gehackt wurde und dadurch aus Deinem Forum eine andere Person angegriffen wird, wirst DU für diese Taten haftbar gemacht! Deshalb gilt es, schnell Gegenmaßnahmen einzuleiten, bevor man noch mehr Probleme bekommt, die man eh in dieser Situation schon hat.
- Website sperren Als erstes sollte man die Webseite sperren, Gründe hierfür sind: - weitere Nutzung durch den Hacker unterbinden - Gefährdung Dritter verhindern (z.B. könnte ja ein Trojaner in die Seite integriert worden sein) - Image Schaden begrenzen Es gibt viele Möglichkeiten das Projekt zu sperren. Eine einfache und schnelle Variante funktioniert mit einer .htaccess Datei. Lege dazu einfach eine Datei names .htaccess im Hauptverzeichnis Deines gehackten Projektes an, die folgenden Inhalt hat: ``` Order Deny,Allow Deny from all ``` Durch wird erstmal das Schlimmste verhindert.
- Backup Nun sollte man eine komplette Datensicherung des Projektes machen. Hierzu zählt auch ein Backup der Datenbank. Auf keinen Fall dürft Ihr zur Erstellung der Backups Software verwenden, die bereits auf dem Webspace installiert war!!! Da man in diesen Moment noch nicht weiß, was durch die Kompromittierung alles betroffen ist. Installiert Euch die Backup-Software neu. Dieses Backup kann später zur Analyse verwendet werden, um herauszufinden, wie sich der Hacker Zugriff verschafft hat. Desweiteren benötigt man das Backup als Beweismaterial, falls man in Erwägung zieht Strafanzeige zu erstatten.
- Kennwörter neu setzen Alle Kennwörter sollten neu gesetzt werden, hierzu zählen FTP Kennwörter, das Kennwort zum Webfrontend des Hosters, Datenbankkennwörter, einfach jedes Kennwort muss gewechselt werden.
- Herausfinden, wie das Forum kompromittiert worden ist Das wichtigste überhaupt ist herauszufinden, wie sich der Hacker Zugriff verschafft hat. Wenn Ihr nicht die neuste Forensoftware installiert hattet, ist das schon mal ein guter Ansatzpunkt zu suchen. Leider reicht es aber nicht aus, wenn man nur die neuste Forensoftware verwendet. Jedes Erweiterungspaket (Mod/Hack) kann die Sicherheitslücke darstellen. Da die Erweiterungen meist sehr schlecht programmiert sind, ist auch nicht automatisch anzunehmen, dass mit der neusten Version der Erweiterung das Sicherheitsloch behoben ist. Das liegt auch daran, dass die meisten Programmierer, die Erweiterungen schreiben, dies nur als Hobby sehen und nicht das nötige Hintergrundwissen besitzen, sicherheitsbewusste Software zu schreiben. Es ist daher immer mit Vorsicht zu genießen, wenn man Erweiterungen einsetzt. Achtet darauf, woher Ihr die Erweiterungen bezieht und wer die Erweiterungen erstellt hat. Das Sicherheitsloch könnte aber auch ein unsicheres und/oder geknacktes Kennwort eines Moderatoren oder Administratoren-Account sein. Daher gilt es allen Benutzeraccounts, die besondere Privilegien besitzen, ein neues Kennwort zuzuweisen. Auch kommen hier CSFR Angriffe in Frage.
- Backup wiederherstellen oder komplette Neuinstallation der Software Wenn ein Backup vorliegt, hält sich die Arbeit zur Herstellung für den Betrieb in Grenzen. Der einzige Verlust der dann vorhanden ist, sind die fehlenden Daten zwischen dem letzten Backup und dem Zeitpunkt der Kompromittierung. Allerdings müsst Ihr Euch bewusst sein, dass die Sicherheitslücke durch das Einspielen des Backups immer noch vorhanden ist (siehe vorherigen Abschnitt). Nun, wenn man kein Backup (oder kein aktuelles Backup) zur Hand hat, sieht es sehr viel schlechter aus. In diesem Fall kommt nur die komplette Neuinstallation der Software in Frage. Hierbei meine ich nicht nur die Forensoftware selbst, sondern auch alle Mods/Hacks, die installiert wurden. Man sollte nicht das Risiko eingehen und darauf vertrauen, dass der Hacker schon nichts an den Dateien verändert hat. Um die aktuelle Installation auch richtig abzusichern, solltest Du Dir die Tipps im Artikel Tipps zur Absicherung meines Webprojektes auf jeden Fall mal anschauen.
- Überwachungsmaßnahmen Nachdem das Board wieder im normalen Betrieb läuft, sollte man in der ersten Zeit verstärkt Überwachungsmassnahmen durchführen. Falls man die Möglichkeit hat, sollte man dafür spezielle Software wie snort oder auch modsecurity einsetzen, um eine umfassende Übersicht über die geschehenden Ereignisse zu erlangen. Die Überwachung sollte mindestens ein halbes Jahr verstärkt durchgeführt werden, bevor man wieder auf "Normalzustand" zurückschalten sollte.
Leider ist es häufig so, dass (meist) durch fehlende Backups das kompromittierte System für immer aus dem Netz verschwindet. Ein Neuaufbau eines Projektes ist oft nicht mehr tragbar - sei es finanziell oder auch wegen des enormen Zeitaufwandes. Wenn die Benutzerdaten (wie User, PNs, Threads, u.s.w.) weg sind und man hat kein Backup, dann sieht es sehr schlecht aus. Wenn man in dieser Situation nochmal von vorne anfängt, dann muss man schon sehr viel Motivation aufbringen. Aber aus Fehlern lernt mal ja bekanntlich, und das nächste Mal hat man dann auch ein Backup ;) (am)