Dieser Blog war einige Zeit lang offline. Das war nötig, weil der Webserver gehackt worden war. Als Folge wurde der Zugang zum gesamten Server blockiert. Davon betroffen waren 27 meiner DomÀnen, unter anderem eben auch dieser Blog.
Es wurde eine Vielzahl von PHP-Skripten immer gleichen Inhalts mit zufÀlligen Dateinamen generiert und scheinbar wild in der Verzeichnisstruktur abgelegt.
Inzwischen habe ich sĂ€mtliche Unterverzeichnisse und Dateien manuell ĂŒberprĂŒft. Meistens mussten einfach nur zusĂ€tzliche Skripte gelöscht werden. Es wurde aber auch Schadcode in einige Dateien eingefĂŒgt, insbesondere in Dateien mit dem Namen index.php.
Die Schadsoftware habe ich nicht analysiert.
Aber ich habe inzwischen damit begonnen, mir ein PHP-Skript zu schreiben, dass Websites auf viele Kriterien hin ĂŒberprĂŒft, analysiert und gegebenfalls verdĂ€chtige Dateien entfernt.
Im Augenblick kann dieses Programm noch nicht besonders viel.
Der erste Schritt ist, die Berechtigungen aller Unterverzeichnisse und Dateien zu ĂŒberprĂŒfen und sie optional auf bewĂ€hrte Werte zu Ă€ndern.
Ein Beispiel: Von einer Datei mit der Endung .gif wĂŒrde man ĂŒblicherweise keine Gefahr erwarten, handelt es sich doch schlieĂlich um eine Bilddatei, die gar nicht ausgefĂŒhrt werden kann. Wenn also die Datei bild.gif die Rechte 777 (Lese-/Schreib-/AusfĂŒhrrechte fĂŒr jeden) besitzt, kann ja nichts passieren. Leider ist das aber nicht richtig. Die Endung gif hat keinerlei Bedeutung, sondern dient nur als Hinweis, dass es sich wahrscheinlich um eine Bilddatei handelt. Bild.gif ist ein beliebiger Dateiname. Der Dateiname fĂŒr das Bild könnte auch bild.txt lauten. Der Inhalt wĂ€re immer noch ein Bild.
Anders herum kann aber ein PHP-Skript mit Schadcode auch die Endung gif besitzen, ist dadurch aber nicht automatisch ein Bild.
Es gibt nun ĂŒberhaupt keinen Grund, dass fĂŒr echte Bilder AusfĂŒhrungsrechte eingestellt sind. Wenn man also allen Bilddateien entzieht, kann ein dort vielleicht vorhandener Schadcode niemals ausgefĂŒhrt werden.
Mein Hack-Scanner (vielleicht denke ich mir irgendwann mal einen netteren Namen dafĂŒr aus oder ihr habt eine gute Idee) kann also im ersten Schritte sĂ€mtliche Dateirechte auf bewĂ€hrte Rechte Ă€ndern, fĂŒr Bilddateien wie gif, jpg und png ist dies 640 (Lesen und Schreiben fĂŒr den EigentĂŒmer, Nur-Lesen fĂŒr die Gruppe).
Ich habe eine ganze Reihe von Ideen, wie ich das Tool erweitern werde. Allerdings mache ich das nur langsam nach und nach. NatĂŒrlich werde ich neue Funktionen hier kurz erwĂ€hnen. Ăber die Kategorie Projekte->Hack-Scanner sind dieser und zukĂŒnftige Artikel direkt erreichbar.