Dateien sind definitiv oder potenziell mit Malware infiziert. Was muss ich jetzt machen?
Bitte beachten Sie: Die Informationen in diesem Artikel beziehen sich ausschließlich auf unser Tool ShopSecurity, mit dem Sie Ihre Shop-Installationen hinsichtlich bekannter und potenzieller Sicherheitslücken prüfen können.
Unserer Empfehlung
Wir empfehlen, einen (potenziell) mit Malware infizierten Shop durch erfahrene Entwickler:innen oder Sicherheitsfirmen prüfen zu lassen.
Wenn ein Online-Shop erfolgreich angegriffen wird, hinterlässt der Täter oft eigene Dateien, mit denen er zusätzliche Funktionen in den Shop einbaut (z. B. das Ausleiten von Kreditkartendaten) oder andere Anwendungen auf Ihrer Webseite oder dem Cluster ausführt (z. B. Spam-Versand oder Phishing-Applikationen). Solche Dateien werden Malware genannt, vom englischen 'Malicious Software' abgekürzt. Diese Dateien verwenden oft typische Muster, entweder um ihre Funktion selbst zu ermöglichen (z. B. WebShell-Code) oder um die Analyse im Rahmen einer Verschleierungstaktik zu erschweren.
In einem Malware-Scan prüfen wir die Dateien auf Ihrem Cluster auf typische Malware-Muster und zeigen Ihnen im Report die Dateien an, welche diese Muster aufweisen.
Lösung: Prüfung der Dateien
Neben der Wiederherstellung eines sauberen Stands durch Entfernen der Malware sollte auch analysiert werden, wie der Malware-Befall zustande kam (z. B. durch Analyse der erfolgten Zugriffe zur Aufdeckung des Einfallsvektors) oder welche Konsequenzen der schädliche Programmcode nach sich zog. Bei Bedarf nennen wir Ihnen Unternehmen, welche eine Sicherheitsprüfung der Dateien sowie ggf. weitere Bereiche des Clusters durchführen.
Malware kann entweder in bestehende Dateien integriert sein oder in eigenen, neu erzeugten Dateien abgelegt werden. Es handelt sich dabei häufig um komplexen Programmcode, dessen Funktion in Ihrem Shop möglicherweise nicht auf den ersten Blick erkennbar ist. Bei der Prüfung untersucht man den Programmcode auf eben diese Funktion, wobei das Verhalten unter verschiedenen Eingaben und Bedingungen analysiert wird. So kann beispielsweise die ungeprüfte Weitergabe des Inhaltes von GET-Parametern an die PHP-Funktion eval(), dazu führen, dass mit dem entsprechenden Datei-Aufruf beliebiger PHP-Code ausgeführt werden kann.
- Verdächtige Dateien sollten Sie in jedem Fall manuell überprüfen. Typische Malware-Muster sind in regulärer Software zwar nicht weit verbreitet, können aber durchaus vorkommen.
- Rufen Sie verdächtige Dateien nicht direkt im Browser auf, sondern prüfen diese mit einem reinen Texteditor (z. B. nano oder vim) auf dem Server.
- Veränderte Dateien sollten aus einem sauberen Backup wiederhergestellt oder durch ein erneutes Deployment von sauberem Code ersetzt werden. Bei der Verwendung eines Versionskontrollsystems ist ein sauberer Stand leicht zu finden. Malware kann jedoch auch in ein VCS-Repository oder in ein Backup gespeichert werden, daher ist in jedem Fall zu prüfen, dass die wiederherzustellende Datei dann Schadcode-frei ist.
- Dateien, die ausschließlich Malware beinhalten, können oftmals gelöscht oder aus dem Applikationsverzeichnis verschoben werden, um die Malware zu deaktivieren. In einigen Fällen bestehen jedoch Querverbindungen zu veränderten Dateien Ihres Shopsystems, sodass diese zuerst bereinigt werden sollten.
Wenn Sie Ihren Shop auf ein vollständig sauberes System migrieren möchten, stellen wir Ihnen gerne einen zusätzlichen unabhängigen Cluster bereit. Kontaktieren Sie unsere Beratungsabteilung für die Konditionen und das notwendige Vorgehen unter beratung@maxcluster.de oder per Telefon unter +49 (0) 5251 4141-350.
Weitere Handlungsempfehlungen
Die häufigste von uns beobachtete Ursache für den Befall mit Malware ist der Betrieb von alten Softwareversionen auf einem Cluster. Neben dem Shopsystem selbst können weitere Anwendungen (z. B. Blogsystem oder Datenbankverwaltung) veraltet sein und daher bekannte Sicherheitslücken aufweisen. Wir empfehlen daher allgemein die folgenden Verhaltensweisen:
- Installieren Sie alle Sicherheitsupdates zeitnah. Das beinhaltet auch solche für Plugins und für zusätzliche Software.
- Trennen Sie ggf. besonders kritische Systeme (Shop mit Kundendaten) von möglicherweise nicht gut gewarteten Systemen (Entwicklungsumgebung).
- Legen Sie Backup-Dateien, Datenbank-Exporte, Logdateien, usw. nicht in vom Webserver erreichbaren Verzeichnissen ab. Diese Dateien können Informationen enthalten, mit welchen Ihre Anwendungen leicht angegriffen werden können.
- Verwenden Sie sichere Passwörter, die Sie nicht bereits an anderer Stelle verwenden.
Bei Fragen steht Ihnen unser Support telefonisch unter 05251/414130 oder per E-Mail an support@maxcluster.de zur Verfügung.
Veröffentlicht am 05.06.2024