Wenn man über google berichtet, dann wohl selten sehr positiv – die Datenkrake wird zwar stetig genutzt, ist aber eben auch permanent negativ in den Schlagzeilen.
Die aktuelle Aktion allerdings, können wir als Webhosting Unternehmen sowie auch Privat als „Internetnutzer“ nur befürworten! Google hat 20.000 Webseitenbetreiber per E-Mail informiert, dass Ihre Webseite mit Schadcode infiziert ist und sehr wahrscheinlich die Computer Ihrer Besucher infiziert. Diese Zahl ist nur ein Tropfen auf den heißen Stein, aber es ist ein Anfang.
Die betroffenen Webmaster werden aufgefordert in Ihren Dateien nach eingeschleustem Code wie z.B. JavaScript-Code
eval(function(p,a,c,k,e,r)
zu suchen. Aus Erfahrung betroffener Kunden wissen wir, das der Code sehr häufig base64 verschlüsselt und daher extrem schwer zu finden ist. Gerne beginnt der Schadcode auch mit Zeilen wie:
preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69 [.... elendig lange so weiter]
Wobei „\x65\x76\x61\x6C\x28“ zurück gewandelt „eval“ bedeutet und eben wie von google beschrieben zum Ausführen von Code gedacht ist. In der E-Mail von Google wird eine Seite zur „Ersten Hilfe“ genannt, welche dem betroffenen Webmaster Hilfestellung geben soll.
Oft werden wir gefragt „ja wie kommt das denn in unsere Dateien??“. Da gibt es sehr viele Möglichkeiten, die man im Grunde in 2 Kategorien einordnen kann.
1. Sicherheitslücken in Dateien die im FTP Account liegen.
Dies können all mögliche PHP oder Java Script Dateien sein. In der Regel liegt hier die Ursache in nicht gepflegten Installationen von Forensoftware, CMS wie Joomla, Typo3, WordPress, Galerie Scripten, Gästebücher, Shops u.v.m.
Für fast alle CMS/Shops/Foren Scripte kommen regelmäßig Updates, welche Wichtig sind um Sicherheitslücken zu schließen. Wenn ein Sicherheits Update für eine solche Software veröffentlicht wird, dann kann es zwar schon zu spät sein – aber auf jeden Fall wird es dann aller höchste Eisenbahn das Update zu machen – da bleiben dann keine Monate Zeit.
Irrglaube: Da sitzt niemand mit eine Kanne Kaffee und überquellendem Aschenbecher vor der Webseite und versucht stundenlang diese zu hacken weil er etwas gegen den Seitenbetreiber hat oder sich etwas erhofft. Da wird eine Sicherheitslücke in einer weit verbreiteten Software bekannt und kurz darauf startet jemand ein Script, welches sich über google gleich zig Tausende Seiten sucht, die diese „veraltete“ Software nutzt und somit in 1 Nacht (vollautomatisch) mal eben etliche Tausend Webseiten hackt und mit Schadcode verseucht.
2. Infizierter PC
In den letzten 2-3 Jahren steigen die Fälle, bei denen die Schadcodes nicht über eine Sicherheitslücke irgend eines Scriptes in den Account gelangen, sondern direkt per FTP hochgeladen werden. Dies bedeutet : Dem Angreifer sind die FTP Login Daten der Webseite bekannt. Auch hier handelt es sich wieder nicht um eine „Person“ die sich per FTP einloggt und das böse Werk verrichtet, sondern um Scripte die das gleich mit tausenden Seiten machen.
Woher hat der Angreifer die FTP Daten ?
In der Regel durch infizierte PC´s, auf dem der Domaininhaber oder Webmaster per FTP selbst auf den Account zu gegriffen hat, oder die Zugangsdaten gespeichert wurden. Fast alle FTP Programme, speichern die FTP Zugangs-Daten z.B. im Klartext (also lesbar und unverschlüsselt) auf dem PC – ein gefundenes Fressen für Trojaner, dass wissen auch die wenigsten.
„Aber ich habe doch Anti-Viren Software und eine Firewall, also ist mein PC sauber, ich habe keine Viren„. Diese Aussage hören wir oft und es ist wohl der größte Irrtum der Internet-User. Bitte lesen, begreifen und verinnerlichen: Eine Virensoftware zu haben, selbst wenn sie täglich aktualisiert wird, bedeutet NICHT, dass auf dem PC weder Viren noch Trojaner sind!
Ich habe vor einigen Wochen selbst einen Virus auf meinem privaten PC gehabt. Ich konnte den laufenden Prozess beenden und die Schad-Datei löschen. Das hatte zur Folge, dass spätestens 1 Minute später am gleichen Ort ein neuer Virus mit anderem Namen lag und ausgeführt wurde – die Ursache war ein Virus der sich im recycle.bin Ordner abgelegt hatte. Die Virus Datei habe ich bei virustotal.com von über 40 namhaften Anti-Viren-Software Anbietern auf Viren testen lassen. Ergebnis: von 42 Anti Viren Programmen, haben nur 2 (ZWEI) erkannt, dass es sich um eine infizierte Datei handelt! Und nein, AntiVir, Kaspersky, Norten AntiVirus und all die namhaften Anbieter kostenloser wie teurer Anti-Viren-Tools, haben den Virus nicht erkannt.
Also nur „kein Problem“ mit seinem PC zu haben und nur „keine Meldung von seiner Virensoftware“ zu bekommen, bedeutet auf keinen Fall, keinen Schadcode auf dem PC zu haben. Viren WOLLEN NICHT auffallen und sie ändern sich teilweise selbstständig ständig, so dass die Anti Viren Software oft nicht nachkommt. Es gab schon Berichte über entdeckte Trojaner, welche seit über 1 Jahr ihr Unwesen trieben und noch von keiner Anti Viren Software erkannt wurde – also bitte nie in Sicherheit wiegen!
