Vorheriger Artikel Nächster Artikel

TYPO3-Websites vor Hackerangriffen schützen

Aus dem
t3n Magazin Nr. 26

12/2011 - 02/2012

Die Unternehmens-Präsenz einer international operierenden Firma und die Website des Kaninchenzüchter-Vereins haben eines gemein: Sie sind Teil des World Wide Web und damit global erreichbar – für Kunden, Kaninchenliebhaber, aber auch für . Denn sie sind ein potenzielles Angriffsziel. Dabei ist es keineswegs so, dass die Unternehmens-Website eher zum Ziel wird. Umso wichtiger ist es daher, für den Fall der Fälle vorbereitet zu sein.

TYPO3-Websites vor Hackerangriffen schützen

 

Foto: olly/Fotolia

Im Jahr 2011 war das Thema Sicherheit im Internet medial präsenter denn je. Nicht nur in den einschlägigen Kreisen, sondern auch in den klassischen Massenmedien Radio, Fernsehen und Zeitung wurde viel darüber berichtet. Hacker-Gruppierungen wie „LulzSec“ oder „Anonymous“ haben anhand prominenter Beispiele gezeigt, dass sogar die „großen“ Firmen offensichtlich nicht genug in die Absicherung ihrer eigenen Systeme investieren. Ob nun die GEMA, Sony oder gar die CIA – Hacker sind in ihre Systeme eingedrungen und haben sich entweder geheime Informationen angeeignet oder aber die Websites lahmgelegt. Das zeigt auch, dass auf diesem Gebiet aktuell sowohl Wissensmangel als auch Handlungsbedarf besteht.

Dem Kompromittieren (Hacken) einer Website liegen unterschiedliche Motivationen zugrunde. Es können Freizeit-Spaß, Ruhm und (Hacker-)Ehre oder aber schlicht finanzielle Interessen sein. Denn dem finanziell motivierten Hacker kommt die Kaninchenzüchter-Website gerade recht, wenn er dort ohne viel Aufwand ein paar Links zu dubiosen pharmazeutischen Händlern unterbringen kann. Wer eine Internetseite betreibt, sollte deshalb grundsätzlich damit rechnen, Angriffsversuchen ausgesetzt zu sein. Dabei ist es egal, ob für die Website WordPress, Drupal, oder einfache HTML-Seiten im Einsatz sind. Im Folgenden wird generell auf die Problematik eingegangen, wobei TYPO3 an einigen Stellen als Beispiel dient.

Was ist eine sichere Internetseite?

Allgemein gesprochen gilt etwas als sicher, wenn die Integrität, Erreichbarkeit und Vertraulichkeit gewährleistet ist. Eine Website ist unsicher, wenn unerwünschte Inhalte untergebracht werden können, sie gar keine Inhalte mehr liefert oder der Zugriff auf vertrauliche Informationen möglich ist. Eine Internetseite sicher zu betreiben bedeutet also, eben dies zu verhindern. Was einfach klingt, kann aber durchaus eine komplexe und aufwändige Angelegenheit sein. Grundsätzlich gilt: Je größer der Schaden sein kann, desto mehr Aufwand muss man in die Absicherung investieren. Die CIA wird hier zwar sicher mehr Budget haben als die Kaninchenzüchter, trotzdem können beide Seiten ausreichend abgesichert werden. Handlungsbedarf besteht aber nicht nur, nachdem eine Website kompromittiert wurde, sondern schon vorher. Und dafür gibt es vier überlebenswichtige Grundregeln.

1. Updates

Es ist unerlässlich, die eingesetzte Software auf dem Server (bspw. TYPO3), aber auch den eigenen PC, der ja zur Administration der Website verwendet wird, aktuell zu halten. Dadurch werden zumindest bekannt gewordene Sicherheitslücken geschlossen. Für Software auf dem PC wird man in den meisten Fällen benachrichtigt, sobald Updates vorhanden sind. Für Benachrichtigungen über Aktualisierungen der eingesetzten Software auf Server-Seite abonniert man am besten die entsprechenden Newsletter, Mailinglisten oder RSS-Feeds. Im Falle von TYPO3 ist das etwa die Mailing-Liste [1]. Ebenfalls eine gute Anlaufstelle ist Heise Security [2], die über alle bekannt gewordenen Sicherheitsprobleme berichten.

Die wichtigsten Kriterien für Sicherheit.
Die wichtigsten Kriterien für Sicherheit.

2. Backups

Die Nützlichkeit und Notwendigkeit, ein regelmäßiges Backup anzufertigen, liegt auf der Hand. Allein um das Sicherheits-Kriterium der Erreichbarkeit gewährleisten zu können, wenn es zu Datenverlust durch Fehlbedienung oder Fehlfunktion kommt. Ebenso unabdingbar ist die Verfügbarkeit eines Backups, wenn eine Website nach einem erfolgreichen Agriff kompromittiert und verändert wurde.

Newsletter Newsletter

Abonniere unseren Newsletter und erhalte einen exklusiven Artikel aus dem aktuellen t3n Magazin.

Jetzt lesen: t3n Newsletter Nr. 543

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
4 Antworten
  1. von Patrick am 22.03.2012 (12:09 Uhr)

    Schön geschriebener Artikel, war interessant zu lesen!

    Aber leider nichts neues erfahren ;)

    Antworten Teilen
  2. von brandeer am 22.03.2012 (14:40 Uhr)

    Hinweis an dieser Stelle: oft wird die Webseite auch schon Wochen / Monate vorher gehackt und mit div. versteckten PHP Shells kompromittiert um weitere Fallbacks für den Hacker zu ermöglichen. Der eigentliche Hack wird dann erst später "aufgeschaltet". So wird es umso
    schwieriger, den Zeitpunkt und die Sicherheitslücke auffindig zu machen.

    Hier hilft auch oft die Suche nach Inhalten wie "base64" oder langen Zeilen über den kompletten PHP Source Code um die Shells zu finden.

    Generell sollte nicht auf den Einsatz einer WAF wie mod_security verzichtet werden.

    übrigens - gerde gestern bemerkt: Google informiert mittlerweile auch über veraltete TYPO3 Installationen via Webmaster Tool. :o)

    Antworten Teilen
  3. von digitalfriend am 30.03.2012 (12:13 Uhr)

    Ein gut eingestellet WAF kann eine vielzahl von Angriffen abwehren, sogar dann wenn eine Sicherheitslücke vorhanden ist. https://www.infected-web.de/webapplikation-schuetzen/

    Antworten Teilen
  4. von tuhipoka am 23.03.2015 (01:43 Uhr)

    eine gute methode schnell über unerwünschte aktivitäten informiert zu werden ist das ftp-monitoring. dieses verhindert zwar keinen erfolgreichen angriff aber alle änderungen werden protokolliert und zeitnah mitgeteilt.siehe auch http://wamane.de/index.php/34-mittels-ftp-monitoring-koennen-sie-ihren-ftp-server-ueberwachen

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Aktuelles aus dem Bereich Hacker
Getrennte Wege: Neos spaltet sich von TYPO3-Association ab
Getrennte Wege: Neos spaltet sich von TYPO3-Association ab

Das Neos-Team wird sich von der TYPO3-Association abspalten. Durch den Schritt soll sich das Team besser auf die eigene Produktstrategie konzentrieren können. » weiterlesen

TYPO3 CMS 7.2: Das ist neu
TYPO3 CMS 7.2: Das ist neu

Mit TYPO3 CMS 7.2 ist der nächste Sprint-Release auf dem Weg zum Long-Term-Support 7.6 veröffentlicht worden. Als Neuerung mit dabei ist unter anderem die Möglichkeit, Bilder direkt in TYPO3 zu … » weiterlesen

Hacker's List: Plattform vermittelt anonym Profi-Hacker – angeblich legal
Hacker's List: Plattform vermittelt anonym Profi-Hacker – angeblich legal

Eine Plattform im Internet ermöglicht es, dass sich jeder Interessierte einen professionellen Hacker „buchen“ kann – etwa, um ein E-Mail-Konto oder Facebook-Accounts zu knacken. » weiterlesen

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?

t3n 40 jetzt kostenfrei probelesen! Alle Inhalte des t3n Magazins Diesen Hinweis verbergen