Mein Forum wurde gecrackt - was nun?

Beschreibung: Mein Forum wurde gecrackt - was nun?

Kategorie: Server, PHP und MySQL

Link zu diesem Artikel: Alles auswählen

[url=https://www.phpbb.de/kb/viewarticle?a=52&sid=e525812f839967bffe15f943e943ffa8]Knowledge Base - Mein Forum wurde gecrackt - was nun?[/url]

Wenn euer Forum gecrackt wurde, ist es wichtig, dass ihr erstmal einige "lebensrettenden Sofortmaßnahmen" ergreift um Schlimmeres zu verhindern:

1. Backup machen

Falls der Hacker noch mehr Schaden verursacht, ist es ratsam, wenn man ein Backup hat, deswegen solltet ihr erstmal die vorhandenen Daten sichern. Dazu gehört ein vollständiger Dump der DB (MySQL Backup), sowie eine offline-Kopie aller vorhandenen Dateien des Forums. Selbst wenn der Cracker alles zerstört hat, hilft euch das später, nachvollziehen zu können, auf welche Weise der Cracker in euer Forum eingedrungen ist.

2. Das Board offline nehmen

Um weiteren Schaden zu verhindern, solltet ihr jetzt das gesamte Board offline nehmen. Es nützt nichts, wenn ihr den angerichteten Schaden repariert habt (oder gerade dabei seid) und der Cracker sich über die gleiche Sicherheitslücke erneut Zugriff verschafft. Am besten macht Ihr das, indem ihr alle Dateien des Forums sowie alle Tabellen der Datenbank komplett löscht.

3. ALLE administrativen Passwörter ändern

Und zwar wirklich alle. Noch ist nicht bekannt, wie der Cracker sich Eingang verschafft hat und was er alles "weiß". Auf jeden Fall geändert werden sollten:
  • Datenbank-Kennwort
  • g.g.F. Passwort für phpMyAdmin
  • FTP-Kennwort
  • alle Admin-Kennwörter
Jetzt seid ihr erstmal grundsätzlich im grünen Bereich und rein theoretisch kann eigentlich kein weiterer Schaden angerichtet werden. Jetzt geht es an die eigentliche Arbeit:

4. Die Sicherheitslücke finden, durch die der Cracker reingekommen ist

Wenn ihr euer Board nicht auf dem aktuellen Stand habt, stellt sich die Sache als relativ einfach dar. Die Sicherheitslücken älterer phpBB-Versionen sind im Internet hinlänglich bekannt und an vielen Stellen veröffentlicht, so dass über Google problemlos diverse Crack-Anleitungen gefunden werden können (zumindest wenn man weiß, wo man suchen muss). Aber auch wenn euer Board auf dem neuesten Stand ist, heißt das noch lange nicht, dass ihr ein Sicherheitsleck in der phpBB-Software gefunden habt. Hier einige mögliche Ursachen:
  • Nicht aktuelle Board-Software
  • Unsichere Passwörter, die der Cracker einfach durch Probieren rausbekommen hat. Das gilt für alle Passwörter, also auch FTP-, MySQL oder Admin-Kennwörter.
  • Mitarbeiter, die einem nicht wohlgesonnen sind (auch ehemalige Mitarbeiter bedenken). Das ist zwar schade, aber nicht selten die Ursache
  • schlecht oder unsauber programmierte Hacks
  • Cracking über "normale" Boardfunktionen (z.B. der Upload von PHP-Attachments, oder über HTML-Code in den Postings)
  • Probleme beim Hoster z.B. durch fehlende Updates der Server-Software
  • Ein Sicherheitsloch in phpBB
Die letzten beiden Punkte sind allerdings relativ unwahrscheinlich, die Erfahrung hat gezeigt, dass der Fehler meistens beim Board-Admin bzw. Webmaster zu suchen ist.
Was auch bei der Analyse des Sicherheitsloches helfen kann, ist eine ehrliche Einschätzung wie "wichtig" das eigene Forum ist. Niemand wird großen Aufwand betreiben, um ein neu erstelltes Forum mit 80 Beiträgen zu cracken. Sollte das bei euch der Fall sein, lässt das dann auf Scriptkiddies und eine eher einfache Herangehensweise schließen. Echte Hacker suchen meistens die Herausforderung größerer und bekannterer Foren, haben allerdings auch oft die angenehme Eigenheit, dass sie nie wirklich etwas zerstören, sondern einfach nur ihren Namenszug irgendwo hinterlassen.

5. Board komplett neu installieren

Als nächstes installiert ihr das Forum von grundauf neu. Das erneute Einfügen von Extensions und zusätzlichen Styles bleibt euch hier leider nicht erspart. Das Risiko, dass der Hacker sich irgendwo im Quelltext eine Hintertür erstellt hat, ist zu groß, als dass man die alten Dateien weiterverwenden könnte. Diese Hintertür muss nicht zwangsweise etwas mit dem eigentlichen Sicherheitsloch zu tun haben, so könnte der Hacker einfach eine der Dateien so modifiziert haben, dass er später nochmals auf einfache Weise eindringen kann (das können teilweise, wenige veränderte Zeichen sein).
Gleiches gilt natürlich auch für die Datenbank. Bevor ihr diese zurücksichert, solltet ihr diese akribisch auf Hintertüren untersuchen:
  • Hat sich der Cracker vielleicht ein neues Profil mit Admin- oder zumindest Moderator-Rechten angelegt?
  • Hat er die Passwörter von bestehenden Moderatoren oder Admins geändert?
  • Hat er sich Zugriff auf interne Mitarbeiter-Foren verschafft?
  • Hat er sich in eine Gruppe eingetragen, in die er nicht gehört?
    etc...

6. Hoffen, dass ihr nichts übersehen habt...

Grundsätzlich gilt hier immer: Holzauge sei wachsam!! Man sollte in der Zeit nach dem Neustart ruhig etwas paranoider sein und alles gut im Auge behalten.

7. Gegebenenfalls Anzeige erstatten

Habt ihr genug Daten (z.B. E-Mail-Adresse oder IPs mit genauer Uhrzeit), könnt ihr ruhig Anzeige gegen unbekannt erstatten. Das kostet euch nichts und könnt ihr ohne Bedenken machen. Dass tatsächlich was unternommen wird, ist zwar selten, aber je mehr Webmaster gegen sowas Anzeige erstatten, desto eher wird auch mal so jemand geschnappt. Seid dort allerdings ehrlich und gebt nur Daten an, von denen ihr euch sicher seid, dass sie von dem Eindringling stammen (oder teilt eure Unsicherheit dem Beamten mit).

Weiterführende Links:

So mache ich mein Board sicher
MySQL Backup
Verschlüsselung der Passwörter bei phpBB