Drupal gehackt! Was geht vor?

DruckversionPDF version

Eine gute englischsprachige Beschreibung typischer Hacker-Angriffe auf Drupal-Webseiten befindet sich hier.

Hier eine kurze deutsche Zusammenfassung:

  • Modifizieren von php Dateien z.B die index.php oder Template php-Dateien - dies kann z.B. passieren wenn von einem Virus Ihre ftp-Passwörter auf Ihrem Computer ausgelesen wurden. Unbedingt Ihren eigenen PC überprüfen, bevor Sie anfangen, sonst werden geänderte Passwörter gleich wieder abgefangen.
    Mit Hilfe des "hacked" und "diff" Moduls lassen sich die Dateien Ihres Systems mit den Original-Dateien vergleichen
  • Zusätzlich hochgeladene Dateien - Hier müssen Sie alle Drupal-Verzeichnisse, vor allem das sites/default/files und das Root-Verzeichnis mit Ihren Original-Dateien vergleichen, hilfreich kann sein, das Datum, die Besitzer, Berechtigungen und Rollen der Dateien zu vergleichen. Sticht eine Datei mit abweichenden Angaben hervor, ist sie verdächtig.
  • Über die Benutzeroberfläche von Modulen ausgeführter PHP Code. Zugriffe auf diese Module können in den Logfiles festgestellt werden.
  • Neue Benutzer und neue Rollen wurden angelegt.
  • Die E-Mail-Adresse von Benutzern wurde geändert.
  • Einträge in der menu_router Tabelle der Datenbank, wie "file_put_contents" oder "assert" im Feld "access callback"
  • Angriffe können über andere Seiten im Netzwerk oder auf dem Server gestartet sein..

Das A und O ist ein gutes Sicherungs-Konzept (und ein guter Hoster, sicherer Server, sicheres Netzwerk). Alles was Sie dann tun müssen, ist die Sicherungskopie wiederherstellen und ein Sicherheits-Update einspielen.
Typischerweise ist die Sicherheitslücke relativ schnell bekannt und es gibt einen Patch. Schwierig wird es, wenn der ganze Server oder das ganze Netzwerk betroffen ist.

Sie sollten alle Ihre Passwörter wechseln (ftp-Passwort, sql-Passwort, Kundenmenü-Passwort des Hosters)

Bei einem "Bereinigen" der infizierten Drupal-Version mit der Hand ist die Wahrscheinlichkeit, dass Sie etwas übersehen, sehr hoch. Besser ist es, aus einer Sicherung wieder herzustellen.

 

rhein-main-experten.de wird überprüft von der Initiative-S