Dieser Blog war einige Zeit lang offline. Das war nötig, weil der Webserver gehackt worden war. Als Folge wurde der Zugang zum gesamten Server blockiert. Davon betroffen waren 27 meiner Domänen, unter anderem eben auch dieser Blog.
Es wurde eine Vielzahl von PHP-Skripten immer gleichen Inhalts mit zufälligen Dateinamen generiert und scheinbar wild in der Verzeichnisstruktur abgelegt.
Inzwischen habe ich sämtliche Unterverzeichnisse und Dateien manuell überprüft. Meistens mussten einfach nur zusätzliche Skripte gelöscht werden. Es wurde aber auch Schadcode in einige Dateien eingefügt, insbesondere in Dateien mit dem Namen index.php.
Die Schadsoftware habe ich nicht analysiert.
Aber ich habe inzwischen damit begonnen, mir ein PHP-Skript zu schreiben, dass Websites auf viele Kriterien hin überprüft, analysiert und gegebenfalls verdächtige Dateien entfernt.
Im Augenblick kann dieses Programm noch nicht besonders viel.
Der erste Schritt ist, die Berechtigungen aller Unterverzeichnisse und Dateien zu überprüfen und sie optional auf bewährte Werte zu ändern.
Ein Beispiel: Von einer Datei mit der Endung .gif würde man üblicherweise keine Gefahr erwarten, handelt es sich doch schließlich um eine Bilddatei, die gar nicht ausgeführt werden kann. Wenn also die Datei bild.gif die Rechte 777 (Lese-/Schreib-/Ausführrechte für jeden) besitzt, kann ja nichts passieren. Leider ist das aber nicht richtig. Die Endung gif hat keinerlei Bedeutung, sondern dient nur als Hinweis, dass es sich wahrscheinlich um eine Bilddatei handelt. Bild.gif ist ein beliebiger Dateiname. Der Dateiname für das Bild könnte auch bild.txt lauten. Der Inhalt wäre immer noch ein Bild.
Anders herum kann aber ein PHP-Skript mit Schadcode auch die Endung gif besitzen, ist dadurch aber nicht automatisch ein Bild.
Es gibt nun überhaupt keinen Grund, dass für echte Bilder Ausführungsrechte eingestellt sind. Wenn man also allen Bilddateien entzieht, kann ein dort vielleicht vorhandener Schadcode niemals ausgeführt werden.
Mein Hack-Scanner (vielleicht denke ich mir irgendwann mal einen netteren Namen dafür aus oder ihr habt eine gute Idee) kann also im ersten Schritte sämtliche Dateirechte auf bewährte Rechte ändern, für Bilddateien wie gif, jpg und png ist dies 640 (Lesen und Schreiben für den Eigentümer, Nur-Lesen für die Gruppe).
Ich habe eine ganze Reihe von Ideen, wie ich das Tool erweitern werde. Allerdings mache ich das nur langsam nach und nach. Natürlich werde ich neue Funktionen hier kurz erwähnen. Über die Kategorie Projekte->Hack-Scanner sind dieser und zukünftige Artikel direkt erreichbar.