In der deutschen TYPO3 Mailingliste ist eine interessante Diskussion entstanden, die ich hier einmal kurz festhalten will. Ausgangssituation sei ein gehackter TYPO3 Server. Was macht man aber nun am besten?
Vielen Dank an alle User die an der Diskussion beteiligt waren/sind (Stonki, René etc.)
Was sind erste Schritte?
Der erste Schritt ist ein komplett Backup des Servers. Dabei sollte das Backeup alle Dateien einschließen und nicht nur die einer Webseite, über die du den Angriff vermutet hast. Dazu gehören neben den Dateien auch ein Abbild des Arbeitsspeicher, weil dort auch Informationen gespeichert sein können, die für das weitere vorgehen interessant sein können. Dabei sollte man auf jeden Fall den Aufwand prüfen, grade wenn der Server nicht in seinem eigenen Rechenzentrum steht 😉
Der System reset!
Nachdem du ein Abbild des Systems hast, sollte das System am besten neu aufgesetzt werden. Meistens ist es sicherer ein System komplett neu auf zu setzen. In manchen Fällen, z.B. wenn man weiß wie der Täter ins System eindringen konnte, reicht es auch die Sicherheitslücke explizit zu schließen. Wenn man sich gegen den komplett Reset entscheidet, sollte man auf jeden Fall den passenden Security Bulletin lesen, weil evtl. neben „Patches einspielen“, noch weitere Dinge gemacht werden müssen. Im letzteren Schritt sollte das System dann mit einem Rootkit Hunter und einem Virenprogramm gescannt werden, um ruhig schlafen zu können, dass der Hacker keine schädliche Software hinterlassen hat. Wenn das neue System steht sollten alle Passwörter neu gesetzt bzw geändert werden. Dies ist wichtig, wenn der Hacker schon eines der Passwörter haben sollte (Sonst ist die ganze Arbeit umsonst).
Analyse
Die Analyse des Systems kann nun natürlich eine professionelle Agentur machen. Es gibt extra Agenturen die sich auf soetwas spezialisiert haben. Um selber einen Überblick zu bekommen und evtl. hohe Kosten aus dem Weg zu gehen, kann natürlich auch selbst Hand angelegt werden. So macht es Sinn im ersten Schritt Server Logs zu studieren. Grade wenn man eine Idee hat, wie der Angriff statt gefunden hat (Security Bulletins checken von Updates, die man aus Faulheit nicht gemacht hat 😉 ), findet man hier evtl. schneller Antworten als man denkt. Wird man nicht fündig, dann sollte die Suche auf tmp Verzeichnisse und hinterher auf das gesamte System erweitert werden.
Quelle gefunden
Nachdem eine Quelle identifiziert werden konnte (via. IP und Uhrzeit) kann man versuchen der Quelle auf die Spur zu kommen. Bei IP Addressen im Inland oder der EU kann man evtl. eine Strafanzeige stellen. Bei vielen anderen Ländern ist dies ein schwieriger oder unmöglicher Prozess. Zudem sollte man mit bedenken, dass die Angreifer einerseits aus Bot Netzwerken kommen könnten, anderseits aber auch über Anonymisierungs Software, um die Spuren eines Angriffs komplett zu verschleiern. Beides macht die Suche nach der richtigen Quelle natürlich deutlich schwieriger oder gar unmöglich (Leider habe ich dies Wort schon das 2. mal benutzt 🙁 ). Um anhand der IP selbst nachforschungen anzustellen helfen Tools wie „whois“ oder Webseiten wie dnstools.com.
Prophylaxe
Natürlich lernt man aus seinen Fehlern!! 😉 Grade wenn man nicht viel Zeit in Updates inwestieren will, sollte man sich einen Managed Server holen. Ich spreche in diesem Fall nicht nur von TYPO3 Updates sondern das ganze Paket (Apache, PHP, MySQL und alle anderen Helfer). Wenn man sich um alles selber kümmert ist das fast eine Vollzeit-Aufgabe. Ein fähiger TYPO3 Admin ist zudem auch nicht verkehrt. Unter Linux-Systemen sollte man zudem mit Sym-Links arbeiten, damit ein TYPO3 Update auf einem Server innerhalb von Minuten durchgeführt werden kann.
Habt Ihr noch weitere Ideen?