So könnte ein Hackerangriff/eine Hacker-Attacke aussehen

Oktober 2017

So könnte ein Hackerangriff/eine Hacker-Attacke aussehen

Dieser Fachartikel mit 12 Screenshots über einen möglichen Hackerangriff richtet sich an alle Betreiber von Websiten und nicht nur an WordPress Benutzer. Schließlich kann jede Webpage von Hackern angegriffen werden, egal mit welcher Software diese aufgebaut worden ist.

Aber zumindest bei WordPress stehen eine ganze Reihe kostenloser Hilfsprogramme (Plugins) zur Verfügung, mit deren Hilfe ein erfolgreicher Hackerangriff erschwert oder fast unmöglich gemacht werden kann.  Siehe auch den Fachartikel „WordPress Plugins für Hackerschutz – ein Vergleich“.

Natürlich nur fast unmöglich, denn einen 100 % Schutz gibt es auch hier nicht.

Verdachtsmoment Hackerangriff  – Besucher pro Land

Hat Ihre Website so viele Fans aus entfernten, nicht deutschsprachigen Ländern?

Am gleichen Tag viele Besucher einer Webpage aus entfernten Ländern
An 1 Tag viele Besucher einer Webpage aus entfernten Ländern

Falls ja, dann sind Sie Kosmopolit und Globalisierungsgewinner. Oder ein international operierender Konzern.

Falls nein, dann hat hier wahrscheinlich ein Hackerangriff stattgefunden. Insbesondere dann, wenn alle diese Gäste am gleichen Tag zu Besuch gekommen sind und diese danach Ihre Webpage (erstmal) nicht mehr besucht haben.

Verdachtsmoment Website-Aufrufe pro Besucher

vermutlich Hackerangriff, da 818 Aufrufe innerhalb von 2 Stunden
vermutlich Hackerangriff, da 818 Aufrufe innerhalb von 2 Stunden

818 Aufrufe von einem Besucher von innerhalb von circa 2 Stunden.

An einem anderen Tag wieder 818 Aufrufe. Ich habe die IP-Adresse sichtbar gemacht.

WordPress Hackerangriff mit 818 Aufrufen und sichtbarer IP-Adresse
WordPress Hackerangriff mit 818 Aufrufen und sichtbarer IP-Adresse

Meine beiden Freunde mit den IP-Adressen 91.121.52.201 und 37.59.222.30

 

Mein Freund mit der IP-Adresse 91.121.52.201 nicht mit einem Sixpack, aber mit einem Dreierpack.

Mein Freund mit der IP-Adresse 91.121.52.201
Mein Freund mit der IP-Adresse 91.121.52.201

Möglicher Zusammenhang zwischen Website-Aufrufen und erlaubten Anmeldefehlversuchen

 

vielleicht Hackerangriff da 25 durch 5 teilbar ist
vielleicht Hackerangriff da 25 durch 5 teilbar ist

Warum hier diese Mathematik?

Wenn Sie beim Anmelden bzw. beim Login 4 Fehlversuche zulassen, dann wird der Login-Bereich für eine Weile geschlossen. Die Dauer der Schließung können Sie in der Regel mit Hilfsprogrammen bestimmen. D. h.  beim 5ten Versuch, beim 10ten Versuch etc. ist erstmal Schluß.

Z. B. bei dem WordPress Plugin „Limit Login Attempts Reloaded Attempts“ können Sie diese Einstellungen vornehmen.

Anzahl der möglichen Fehlversuche für das Login definieren
Anzahl der möglichen Fehlversuche für das Login definieren

 

Haben Sie also dann viele Besucher, deren Websiteaufrufe durch 5 teilbar sind, dann kann man davon ausgehen, daß es sich um ungebetene Besucher handelt.

Gleiches gilt, wenn Sie z. B. 6 Fehlversuche bei der Anmeldung zulassen und dann Besucher mit 7, 14, 21 oder 28 Websiteaufrufen haben.

Sie können bei Ihrem Hilfsprogramm bei diesen Einstellungen natürlich auch andere Zahlen eintragen.

Haben Sie also dann viele Besucher, deren Websiteaufrufe durch 5 teilbar sind, dann kann man davon ausgehen, daß es sich um ungebetene Besucher handelt.

Gleiches gilt, wenn Sie z. B. 6 Fehlversuche bei der Anmeldung zulassen und dann Besucher mit 7, 14, 21 oder 28 Websiteaufrufen haben. Das Stichwort heißt hier „Aussperrung“ (siehe unten).

IP-Adresse des Angreifers herausfinden

Sie können mit einem Hilfsprogramm nachträglich die IP-Adresse sichtbar machen, wenn Sie damit rechnen, daß dieser Besucher noch mal vorbeischaut (siehe das Beispiel oben mit den 818 Aufrufen). Nachträglich deswegen, weil bei ItDoor grundsätzlich die IP-Adressen der Besucher mittels Hilfsprogramm anonymisiert sind. Wie eine anonymisierte IP-Adresse  aussieht, können Sie an dem Bild mit den 25 Website-Aufrufen erkennen.

Wenn Sie dann die IP-Adresse des Angreifers haben, können Sie diese bei manchen Schutzprogrammen in eine sogenannte Blacklist eintragen. Was dann genau passiert, wenn der Angreifer wieder auf Ihre Webpage kommt, kann ich Ihnen nicht sagen. Weil ich das nicht ausprobiert habe. Schließlich muß der Angreifer nicht bei jedem Angriff die gleiche IP-Adresse benutzen.

Haben Sie denn daheim bei Ihrem PC oder bei Ihrer Webpage immer die gleiche IP-Adresse? Das obwohl es Hoster gibt, die einen Aufpreis für eine feste IP-Adresse verlangen?

Zudem kann ein Angreifer auch seine IP-Adresse für Sie unsichtbar machen.

Auch aus anderen Gründen bringt Ihnen die IP-Adresse des Angreifers nicht viel.

Selbst wenn Sie darüber (indirekt) die Wohnadresse des Angreifers herausfinden würden, was sehr unwahrscheinlich ist. Nehmen wir mal an, Sie kennen nun die Wohnadresse des Angreifers.

Wollen Sie dann auf ihre Kosten einen Anwalt in einem fernen Land beauftragen, den Hacker zu verklagen? Auf was denn? Nur durch einen Hackerversuch ist in der Regel noch keinen Schaden. Entstanden. Zudem sind im deutschen Strafrecht nicht bei allen Verbrechen Versuche strafbar. Welches Recht gilt überhaupt? Das des Landes des Hackers oder das Land in dem der Hackerangriff stattgefunden hat?

Außerdem kann es Ihnen passieren, daß der Besucher gar nicht weiß, daß z. B. sein PC für einen Hackerangriff  mißbraucht worden ist.

Da läuft man also Gefahr in etwas aussichtloses Zeit (und Geld) zu investieren. Meines Erachtens lohnt sich daher noch nicht mal die kleine Mühe IP-Adressen im Besucherstatistikprogramm sichtbar zu machen.

Trotzdem wird weiter unten ein Bild mit der IP-Adresse eines Angreifers gezeigt, der versucht hatte an den Login-Bereich des Administrators heranzukommen.

Verdachtsmoment – Aussperrungen wegen zu vieler Fehlversuche beimLogin auf Ihrer Webpage

Bei dem WordPress Plugin „Limit Login Attempts Reloaded“ sieht das dann z. B so aus.

Anzahl der Aussperrungen wird von einem Hilfsprogramm festgehalten
Anzahl der Aussperrungen wird von einem Hilfsprogramm festgehalten

Je nachdem, was für Hilfsprogramm Sie haben, erhalten Sie bei Aussperrungen sogar ein E-Mail.

Benachrichtigungen per E-Mail bei Ausperrungen
Benachrichtigungen per E-Mail bei Ausperrungen

Verdachtsmoment Aufruf der Login-Seite des Administrators

Jemand mit der IP-Adresse 83.99.17.22 hatte das aufgerufen.

Aufruf der Login-Seite des Administrators durch einen Besucher
Aufruf der Login-Seite des Administrators durch einen Besucher

 

Die Website ist aber so eingestellt, das dann im Browser diese Nachricht diese Nachricht kommt.

WordPress Kein Zugriff auf Administrator Login
Kein Zugriff auf Administrator Login

Was tun bei dem Verdacht eines Hackerangriffs?

Erstmal nicht in Panik verfallen. Denn ein Grund zur Panik besteht nicht, wenn Sie ein Backup Ihrer Website für einen Zeitpunkt vor dem Hackerangriff haben. Vielleicht gibt es sogar 2 Backups eines von Ihnen und eines von Ihrem Hoster?

Läuft Ihre Website nicht mehr rund oder ist diese vollends von dem Hacker abgeschossen worden, kann das Backup benutzt werden, Ihre Website wieder zum Laufen zu bringen. Natürlich erst dann, wenn Ihr Hoster Ihren Webspace auf Viren untersucht hat.

Ist Ihr Hoster gut organisiert, hat er den Hackerangriff schon vor ihnen bemerkt und kommt auf Sie zu.

Ich denke für einen Hacker ist es lohnender Ihre Website für die Verbreitung von Viren, Trojanern etc. zu mißbrauchen statt Ihre Website abzuschießen. Der Mißbrauch Ihrer Website soll natürlich unbemerkt geschehen. Selbst wenn also bei Ihnen der Verdacht entstanden ist, daß ein Hackerangriff auf Ihre Website stattgefunden, werden Sie in der Regel (erstmal) nicht wissen, ob der Hackerangriff erfolgreich war.

Sie können bei einem Verdacht Ihren Hoster kontaktieren. Mal sehen, was Sie für eine Antwort erhalten.

Wenn Sie ein passendes Hilfsprogramm haben, können Sie Ihre Website scannen. Damit Sie in Erfahrung bringen können, ob der vermeintliche Hackerangriff erfolgreich war.

  • Nehmen wir mal an, daß dieser Scan zudem Ergebnis kommt, daß Ihre Website nicht verseucht ist. Dann würde es zumindest für mich keine Rolle mehr spielen, ob der Verdacht eines Hackerangriffs zu Recht oder zu Unrecht bestanden hat. Da man einen stattgefundenen Hackerangriff nicht aus der Welt schaffen kann.
  • Über weitere Sicherheitsmaßnahmen kann man natürlich auch bei einem bloßen Verdacht nachdenken.

Das letzte Backup vor dem vermeintlichen Hackerangriff würde ich auch dann behalten, wenn ihr Hoster keinen Hackerangriff feststellen konnte oder keinen erfolgreichen Hackerangriff bestätigen kann. Das, obwohl ich dafür bin, regelmäßig alte Backups zu löschen, siehe den Fachartikel „WordPress Duplicator Archive löschen – Zeitersparnis??“.

Schließlich haben selbst die 15 besten Antivirenprogramme für den PC nur eine Erkennungsquote zwischen 66,7 % und 99,6 % [Link].

Da behalte ich vorsichtshalber lieber diese eine Backup anstatt es zu löschen.

Zu kostenlosen Hilfsprogrammen mit denen man WordPress Websites scannen kann, siehe den Fachartikel „WordPress Plugins für Security Scans – ein Vergleich“.

Ihren Hoster anrufen, damit er eine bestimmte IP-Adresse sperrt?

Technisch ist das für Ihren Hoster kein Problem. Das Problem liegt für Ihren Hoster darin, daß er aufpassen muß, daß er keine freundliche IP-Adresse sperrt. Schließlich liegt nur ein Verdacht vor.

Das ist der eigentliche Zeitaufwand des Hosters, die Überprüfung der IP-Adresse.  Die Sperrung einer IP-Adresse geht nämlich schnell.

Ihr Hoster schaut erstmal, ob die von Ihnen genannte IP-Adresse auf einer schwarzen Liste steht. Ist das nicht der Fall, ist das ungünstig für Ihren Hoster. Er kann dann nicht mit 100 prozentiger Sicherheit feststellen, ob es sich um eine freundliche oder unfreundliche IP-Adresse handelt. Stellen Sie sich mal vor, hinter der IP-Adresse steckt ein ganzes Firmennetzwerk mit einer freundlichen IP-Adresse. Sperrt dann Ihr Hoster diese IP-Adresse, dürfte Ihr Hoster ein Problem haben oder bekommen.

Bei unsicherer Datenlage könnte es ein Kompromiß sein, die IP-Adresse erstmal nur für 1 oder 2 Tage zu sperren.

.htacess Datei gegen Schreiben aus dem Internet sperren?

Technisch ist das recht einfach. Sie öffnen die Verbindung zum Ihrem Webspace mit einem FTP-Programm z. b. Filezilla. Nachdem Sie die Datei .htaccess gefunden haben, klicken Sie mit der rechten Maustaste auf diese Datei.

Weg zu den Dateiberechtigungen der Datei .htaccess
Weg zu den Dateiberechtigungen .htaccess

Sie klicken dann auf „Dateiberechtigungen“.

So sind die Grundeinstellungen bei ItDoor.

Grundeinstellungen der Datei .htaccess bei ItDoor
Grundeinstellungen .htaccess bei ItDoor

Sie nehmen das Häkchen bei „Besitzerberechtigungen/Schreiben“ raus und geben als numerischen Wert 444 ein.

Danach sieht das dann so aus.

Neue Werte in der Datei .htaccess
Neue Werte in der Datei .htaccess

Wie gesagt, technisch ist das ganz einfach. Das müßte eigentlich jeder hinbekommen.

Die Sache hat bloß leider einen Haken. Manche (Hilfs)Programme wie z. B. einige Cache WordPress Plugins schreiben Daten in die Datei .htaccess. Da wird dann in dieser Datei definiert wie lange welche Dinge im Cache vorgehalten werden.Ist dann die .htaccess Datei gegen das Schreiben gesperrt, funktioniert dann das Plugin nicht mehr richtig.

Fazit:

Selbst wer nur eine kleine Webpage hat z. B. für die private Kegelgruppe sollte ein paar Anstrengungen unternehmen.

  • Regelmäßig Backups erstellen, damit man eine unverseuchte Version von seiner Webpage hat
  • Ein kostenloses Hilfsprogramm für Besucherstatistiken einsetzen. Bei einem Hoster, der Tausende von Webpages hat, kann man nicht erwarten, daß er einen Hackerangriff entdeckt, der von über 100 verschiedenen Länder ausgeht. Aus diesem Land 130 Besucher an einem Tag, aus einem anderen Land 210 Besucher an diesem Tag etc. Das ist pro Land nicht so viel, daß es einem Hoster auffallen muß. Aber Ihnen fällt es auf, da Sie als Betreiber Ihrer Webpage erkennen können, wenn Sie aus einem Land auf einmal 80 Besucher an einem Tag haben, von dem es vorher keine Besucher gab. Oder es macht bezüglich des Inhaltes Ihrer Webpage keinen Sinn, daß Sie auf einmal aus einem anderen Land 80 Besucher haben. Was wollen die denn auf Ihrer Webpage? Ich habe mal die Zeit gestoppt .Um mich bei ItDoor.lu einzuloggen, einen Blick auf die Besucherstatistik zu werfen und mich dann anschließend wieder auszuloggen, das kostet mich 45 Sekunden. Das ist noch nicht mal 1 Minute.
  • Die Anzahl der Fehlversuche mit einem Hilfsprogramm bei der Anmeldung begrenzen
  • Den Anmeldelink bei Ihrer Website für Sie als Betreiber der Website mit einem Hilfsprogramm verschieben. Bei WordPress hat der Anmeldelink diese Struktur http:// www.itdoor.lu/wp-login.php Bei Joomla hätte der Anmeldelink für den Betreiber der Webpage diese Struktur: http://itdoor.lu/administrator/. ‚Das ist jedem Hacker bekannt, deswegen kann das auch in der Öffentlichkeit schreiben. Da verrät man kein Geheimnis.

Zur Beruhigung aller Leser kann noch darauf hingewiesen werden,  daß es bisher noch keinen erfolgreichen Hackerangriff bei ItDoor gegeben hat.

Das war es zum Thema So könnte ein Hackerangriff/eine Hacker-Attacke aussehen.

Verwandte Fachartikel

WordPress Plugins für Security Scans – ein Vergleich

WordPress Plugins für Hackerschutz – ein Vergleich

 

Zurück zum WordPress Plugin Verzeichnis von ItDoor

Zu den Fachartikeln zum Thema Word von ItDoor für eilige Leser

Zu den It-Wörterbüchern von ItDoor

Zur Startseite von ItDoor