Antworten auf häufig gestellte Fragen

Was ist passiert?

Ein Angreifer hat sich eine Sicherheitslücke innerhalb Ihres Servers zu Nutze gemacht. In diesem Zusammenhang konnte er Root-Rechte erlangen.

Was muss ich tun?

Sollten uns derartige Aktivitäten auf Ihrem Server bekannt werden, pausieren wir die verdächtigen Prozesse über das Wirtssystem und informieren Sie per E-Mail. Bitte sichern Sie zunächst Ihre Daten über das zur Verfügung stehende Rettungssystem. In der Regel ist eine Neuinstallation des betroffenen Servers notwendig, da sich die von Angreifern genutzten Rootkits nur schwer aufspüren und sicher vollständig entfernen lassen.

Wer kann mir helfen?

Wenn Ihr Server von einem Administrator erstellt/verwaltet wurde, involvieren Sie ihn unbedingt.

Was muss ich in Zukunft beachten?

Achten Sie bitte regelmäßig auf die Aktualität Ihres Server Betriebssystems. Nutzen Sie stets die als „stable“ eingestuften Versionen von PHP, MySQL usw.

Kontrollieren Sie den Netzwerkverkehr mit geeigneten Anwendungen (z.B. ntop) oder den zur Verfügung stehenden Bordmitteln (z.B iptables). Schauen Sie sich ebenso das „syslog" Ihres Servers an und überprüfen Sie auch die laufenden Prozesse Ihres Servers.

Was ist passiert?

Ein Angreifer hat sich eine Sicherheitslücke innerhalb Ihres Servers zu Nutze gemacht und sendet nun Daten an Server Dritter, die sich dadurch gestört fühlen, meist in Form von Portscans, Bruteforce-Attacken, Kompromittierungsversuche oder ähnliches.

Was muss ich tun?

Sollten uns derartige Aktivitäten auf Ihrem Server bekannt werden, informieren wir Sie hierzu per E-Mail und bitten Sie um zeitnahe Kontaktaufnahme über das Supportsystem, welches Sie in Ihrem Kundencenter-Login finden. Teilen Sie uns dort bitte Ihre geplanten oder womöglich bereits durchgeführten Gegenmaßnahmen mit.

In den meisten Fällen entstehen derartige Probleme durch unsichere PHP-Skripte und CGIs. Oft ist es ausreichend, die eingeschleusten Applikationen (nach Erstellung einer Datensicherung) zu entfernen und die unsicheren Skripte zu löschen oder abzusichern. Sie sollten also zunächst Ihr System nach Schwachstellen durchsuchen und herausfinden, auf welchem Wege schädliche Skripte eingeschleust wurden.

Manchmal treten diese Probleme auch auf, wenn Ihr Server von einem Angreifer übernommen "gehackt" und root/Administrator-Zugang erlangt wurde. Dies ist u.a. möglich, wenn Sicherheitslücken in Diensten bestanden, die nicht durch Updates behoben wurden.

Kontrollieren Sie den Netzwerkverkehr mit geeigneten Anwendungen (z.B. ntop) oder den zur Verfügung stehenden Bordmitteln (z.B iptables). Schauen Sie sich ebenso das „syslog" Ihres Servers an und überprüfen Sie auch die laufenden Prozesse Ihres Servers.

Wer kann mir helfen?

Wenn Ihr Server von einem Administrator erstellt/verwaltet wurde, involvieren Sie ihn unbedingt.

Häufig kommt es vor, dass die Sicherheitslücke beim Hersteller Ihrer im Einsatz befindlichen Software schon längst bekannt ist. Es empfiehlt sich daher immer die Recherche über einschlägige Suchmaschinen oder die Nutzung eines Forums das in der Regel vom Software-Hersteller selbst oder von der Community gepflegt wird.

Was muss ich in Zukunft beachten?

Achten Sie bitte auf die Aktualität Ihres Server Betriebssystems und natürlich auch auf die Aktualität der im Einsatz befindlichen CMS-/PHP-Skripte. Nutzen Sie stets die als „stable“ eingestuften Versionen von PHP, MySQL usw..

Was ist passiert?

Hier gibt es verschiedene Möglichkeiten z.B.:

1. Ein Angreifer hat sich eine Sicherheitslücke innerhalb Ihrer Webseiten (z.B. WordPress/Joomla/Drupal usw.) zu Nutze gemacht und hat zum Zwecke des Spam-Versand eine oder mehrere Schadcode-Dateien in Form eines PHP-Skriptes platziert. Diese kleinen Programme nutzten die sogenannte PHP mail()-Funktion zum Versand einer generierten Spam-E-Mail, an eine meist recht große, unbekannte Empfängerliste. Oftmals wird auch das üblicherweise von Ihren Seitenbesuchern genutzte Kontakt-Formular oder eine Gästebuch-Funktion zum Spam-Versand zweckentfremdet.
   
2. Dem Angreifer ist es gelungen das (SMTP-)Kennwort einer Ihrer E-Mail-Adresse auszuspionieren. Dies geschieht in der Regel über Trojaner oder Viren die wiederum in herkömmlichen Spam-E-Mails auf Ihrem Endgerät geöffnet wurden. Die erbeuteten Login-Daten werden dabei direkt an den Angreifer übermitteln. Dieser kann dann über herkömmliche E-Mail-Client (z.B. Outlook, Thunderbird und Co.) Spam-E-Mails mit den Zugangsdaten Ihrer E-Mail-Adresse versenden.
   
3. Kompromittierung des Gesamtsystems durch unsichere Passwörter oder veralteten Softwarestand.

Was muss ich tun?

Sollten uns derartige Aktivitäten von Ihrem Server bekannt werden, führen wir unter Umständen eine Sperrung des Servers durch. Wir informieren Sie in jedem Fall per E-Mail und bitten Sie um zeitnahe Kontaktaufnahme über das Supportsystem, welches Sie in Ihrem Kundencenter-Login finden. Teilen Sie uns dort bitte Ihre geplanten oder womöglich bereits durchgeführten Gegenmaßnahmen mit.

1. Beim Spam-Versand über eingeschleusten Schadcode/PHP-Skript gilt:
   
   Bedenken Sie bitte von Anfang an unbedingt, dass alleiniges Löschen der platzierten Schadcode-/Phishing-Dateien die eigentliche Ursache dieses Sicherheitsvorfalles nicht bekämpfen wird. Gehen Sie bitte davon aus, dass Ihr CMS/PHP-Skript (z.B. Joomla/WordPress/Drupal usw.) durch eine darin befindliche Sicherheitslücke manipuliert und nachhaltig an unbekannter Stelle verändert wurde. Verpasste Sicherheitsupdates nachträglich einzuspielen löst die Problematik leider ebenso wenig, da der Schadcode im Vorfeld platziert wurde. Auf kürzlich erstellte Backups sollten Sie ebenso verzichten, da die Sicherheitslücke zum Zeitpunkt der Datensicherung womöglich schon ausgenutzt wurde. Wir empfehlen Ihnen aus den genannten Gründen die durchgreifende Änderung relevanter Passwörter (z.B. FTP/MySQL), sowie eine saubere Neuinstallation des verwendeten CMS/PHP-Skriptes in der aktuellsten Version. In diesem Zusammenhang sollten alle nachträglich installierten Erweiterungen/Plugins und ganz besonders auch Templates auf deren Herkunft/Quelle/Vertrauenswürdigkeit von Ihnen überprüft werden.
   
   Kontaktformulare und Gästebücher sollten prinzipiell mit einem Captcha abgesichert werden.
   
   
   
2. Beim Spam-Versand über ein kompromittiertes E-Mail-Postfach gilt:
   
   Bitte bedenken Sie von Anfang an unbedingt, dass ein alleiniges Ändern des Kennwortes des betroffenen E-Mail-Postfaches die Dateien die eigentliche Ursache dieses Sicherheitsvorfalles unter Umständen nicht bekämpfen wird. Gehen Sie bitte davon aus, dass Ihr Kennwort entweder zu einfach konzipiert, einem Dritten bekannt war oder eines Ihrer Endgeräte, welches das betroffene Postfach synchronisiert, von einem Angreifer manipuliert wurde (z.B. Trojaner, Virus, Malware etc.). Prüfen Sie daher Ihre genutzten Endgeräte zunächst mit einer geeigneten Sicherheitssoftware. Sofern ein Befall der Endgeräte ausgeschlossen werden kann, speichern Sie bitte ein neues und sicheres Kennwort ab.
   
   Besonderheit: In seltenen Fällen nutzen PHP-Skripte zum E-Mail-Versand nicht die PHP mail()-Funktion, sondern die sogenannte SMTP-Authentifizierung über ein angelegtes E-Mail-Postfach. Wenn es einem Angreifer gelingt das von Ihnen genutzte CMS/PHP-Skript zu manipulieren, wäre er unter Umständen in der Lage das SMTP-Kennwort Ihres dort hinterlegten Postfaches auszulesen. Prüfen Sie daher im Zweifelsfall auch Ihre CMS/PHP-Skripte ob diese den E-Mail-Versand per SMTP-Authentifizierung durchführen.  Passen Sie in diesem Falle auch dort das geänderte E-Mail-Passwort (SMTP) an oder wechseln Sie die Versandart im Backend auf Sendmail.
   
   
3. Wenn das Gesamtsystem kompromittiert ist, sichern Sie bitte Ihre Daten über das zur Verfügung stehende Rettungssystem und führen Sie anschließend eine Neuinstallation des Servers durch.

Wer kann mir helfen?

Wenn Ihr Server von einem Administrator erstellt/verwaltet wurde, involvieren Sie ihn unbedingt.

Was muss ich in Zukunft beachten?

Achten Sie bitte immer darauf, dass die Kennwörter Ihrer E-Mail-Postfächer nur Ihnen bekannt sind und eine entsprechend hohe Komplexität bzw. Passwort-Stärke aufweisen.

Wichtig ist ebenso die Aktualität Ihres Server Betriebssystems und natürlich auch die Aktualität der im Einsatz befindlichen CMS-/PHP-Skripte. Nutzen Sie stets die als „stable“ eingestuften Versionen von PHP, MySQL usw.

Kontrollieren Sie den Netzwerkverkehr mit geeigneten Anwendungen (z.B. ntop) oder den zur Verfügung stehenden Bordmitteln (z.B iptables). Schauen Sie sich ebenso das „syslog" Ihres Servers an und überprüfen Sie auch die laufenden Prozesse Ihres Servers.