20 Dez, 2015

Was kann mit meiner „gehackten“ Webseite oder Webshop angestellt werden?

no face hacker -Fotolia_50657374_Subscription_XXL
20 Dez, 2015
 

Wenn deine Webseite gehackt wurde, kannst Du als Benutzer häufig gar nicht auf den ersten Blick sehen. Meistens sieht man auf einer gehackten Webseite kein großes Banner mit „Hey du wurdest gehackt“ oder ähnlichem. Es ist für dich als Webseitenbetreiber zwar ärgerlich, aber an sich noch nicht weiter tragisch. Hier geht es eher um die Profilierung von Crackern, also sogenannten Skriptkiddies oder Black-Hat-Hackern.

Richtig schlimm wird es für dich als Webseitenbetreiber meistens erst dann, wenn man von dem Angreifer auf der Webseite auf den ersten Blick erst mal gar nichts sieht. Der Hacker will dann nicht auffallen, sondern seine Kontrolle verbergen. Er hat andere Ziele und Pläne – und die lassen sich am besten verfolgen, wenn er undercover bleibt.

Über die gehackte Webseite oder den gehackten Webshop hat ein Angreifer außerdem auch Zugriff auf den darunter liegenden Server. Wieviel Schaden er damit anrichten kann und wie tief er darüber in den Server eindringen kann, hängt von dem jeweiligen Setup und dem Aufbau des Servers (u.a. der Rechtestruktur) ab. Das ist also von Fall zu Fall verschieden.

Ich gehe hier davon aus, dass deine Webseite auf einem vServer gehackt wurde. Der Angreifer hat darüber jetzt Zugriff auf PHP, MySQL, Apache und alles was sonst noch an Diensten darauf läuft.

Der „Hacker“ hat also durch die Webseite die volle Kontrolle über den Server und kann damit z.B.:

 

Die gehackte Webseite als Spamversender oder für den Versand von Phishingmails missbrauchen

 

Die meisten CMS verfügen über die Funktion, Emails zu versenden. Das wird z.B. bei integrierten Kontaktformularen gebraucht oder um Benutzer zu benachrichtigen.  Diese Option machen sich Angreifer gerne zu Nutze, um darüber übelst viel Misst (Spam) zu versenden. In solchen Inhalten kann es um angebliche Gewinne, gefälschte Produkte oder vorgetäuschte Kontaktaufnahmen gehen. Also Dinge, mit denen man als Unternehmen eher nicht so gerne in Verbindung gebracht werden möchte. Absender der Spam-Mails ist die URL der betroffenen Webseite.

Sind im Backend der Webseite auch noch ein paar Benutzer registriert, haben die Hacker gleich auch noch ein paar Empfänger mit verifizierten Emailadressen.

Noch krasser ist es, wenn darüber Phishingmails versendet werden. Das Risiko, dass jemand auf solche Emails reinfällt ist sau hoch, weil der Absender ursprünglich legitime Interessen verfolgt hat. Die Empfänger werden solchen Emails eher vertrauen, wenn sie den Absender vielleicht kennen. Spam-Filter und Black-Lists müssen über diesen neuen Spam-Versender erst noch informiert werden. Bis das passiert ist, gilt der Absender als glaubwürdig.

 

Den gekaperten Server als Teil eines Bot-Netzes integrieren

Der gehackte Webserver kann als Teil eines Bot-Netzes integriert werden. Er wird dadurch zu einem sogenannten Zombie und kann von seinem Herrn und Meister (dem Hacker) ferngesteuert für die unterschiedlichsten Funktionen eingesetzt werden:

  • Er kann als Proxy verwendet werden, um die eigentliche Herkunft einer Verbindung, z.B. eines Hackerangriffs zu verschleiern. Nach außen sieht es dann so aus, als ob der Angriff von dem gehackten Webserver aus stattgefunden hat. In Wahrheit war er aber nur eine Durchgangstür für den Hacker, der eigentlich ganz wo anders hockt. Meistens wird eine ganze Kette solcher Proxy-Verbindungen hintereinander geschaltet. Je mehr es sind, umso schwerer wird es die ursprüngliche Quelle eines Angriffs zurückzuverfolgen. In den meisten Fällen verläuft sich die Spur.
  • Es können von diesem Server aus DDoS Attacken ausgeführt werden. DDos-Attacken überlasten einzelne Dienste oder die ganze Infrastruktur des Angriffsziels. Die betroffenen Dienste brechen unter der Last der DDoS-Attacke zusammen und sind deshalb nicht mehr verfügbar. Gemacht wird so etwas hauptsächlich, um dem Opfer zu schaden. Bekannte Opfer solcher Attacken waren z.B. PayPal, Visa und Mastercard als sie 2010 die Sperrung der WikiLeaks-Konten veranlasst haben.
  • Bot-Netze können für Klickbetrug verwendet werden. Die Bots klicken dabei auf Werbebanner eines Dienstleisters, der den hinter dem Bot-Netz stehenden Kriminellen dann dafür vergütet.

Diese Beispiele sind nur ein kleiner Auszug davon, was ein Hacker mit einem Bot-Netz so alles anstellen kann. Es gibt noch verdammt mehr Möglichkeiten.

 

Über die gehackte Webseite werden Besucher mit Malware infiziert

Alleine schon durch das Aufrufen der gehackten Webseite wird versucht, den Computer deines Besuchers mit Malware zu verseuchen. Das nennt man Drive-by-Downloads (grob übersetzt: Download im Vorbeifahren). Es ist gar nicht nötig, dass dein Besucher dazu manipuliert wird, ein Programm herunterzuladen oder irgendeine bewusste Handlung vorzunehmen. Der bloße Aufruf einer entsprechend manipulierten Webseite genügt. Auch das wird gerne im Rahmen eines Bot-Netzes realisiert.

Durch Veränderungen in den HTML oder CSS Seiten der gehackten Webseite wird versucht, über eine Schwachstelle im Browser deines Besuchers in sein System einzubrechen. Gelingt das, wird Schadcode auf dem betroffenen Computer installiert und der Hacker hat Zugriff auf diesen Computer.

Der Hacker kann z.B. auch diesen Computer als Teil eines Bot-Netzes einsetzen. Dafür eignen sich „Privat-PCs“ meist sogar besser als der Server der Webseite, weil Privatpersonen Ihre PCs meist viel weniger schützen. Für das rum Surfen im Internet haben die Meisten eine Flatrate. Bis ein erhöhter Netzwerkverkehr in einem Privathaushalt auffällt, kann es deshalb eine ganze Weile dauern. Es gibt auch heute noch sehr viele PC-Nutzer, die Betriebssystem und Programme nicht aktualisieren und keinen Malware-Schutz einsetzen. Sie sind für Böse Buben sehr leichte Beute.

Außerdem nutzen Privatpersonen ihren PC meistens auch fürs Onlinebanking und Onlineshopping. Bezahldaten und Kontoinformationen bei Onlinehändlern sind für die Angreifer natürlich sehr interessant. Ist ein PC übernommen worden, kommen die Angreifer z.B. mit einem Keylogger ganz einfach an die nötigen Passwörter. Manchmal geht das sogar noch einfacher. Zum Beispiel wenn ein Benutzer eine Passwort-Datei verwendet, die ungesichert abgelegt ist.

Wenn ein Böser Bube gerade keinen Bedarf an diesen Daten hat, sind sie für ihn wertvoll. Er kann sie auf entsprechenden Schwarzmarkt-Börsen unkompliziert und lukrativ weitergeben.

 

Die gehackte Webseite als Downloadportal für illegale Inhalte verwenden

Der Server der gehackten Webseite verfügt über Speicherplatz. Dieser Speicherplatz kann für die Verbreitung illegaler Inhalte verwendet werden. Das können z.B.urheberrechtlich geschützt Materialien wie Filme, Musik oder Software sein. Es können aber auch richtig heftige, strafrechtlich verbotene Inhalte verteilt werden, wie zum Beispiel Kinderpornografischeinhalte, Rechtsradikale Inhalte und und und… .

Mein Fazit

Die Möglichkeiten eine gehackte Webseite zu missbrauchen sind vielfältig. Was genau im Einzelfall damit passiert, lässt sich schlecht vorhersagen.  Aber eines steht fest: Die Folgen sind für dich als Webseiten oder Webshop-Betreiber richtig unangenehm.

 
«
»