Im ersten Teil dieses Beitrags haben wir uns angeschaut, was passieren kann, wenn eine Webseite gehackt wurde. Im zweiten Teil werfen wir einen Blick darauf, was ein Angreifer mit einer gehackten Webseite so alles anstellen kann.
Wenn eine Webseite gehackt wurde, kann man das als Benutzer häufig gar nicht auf den ersten Blick sehen. Meistens sieht man auf einer gehackten Webseite kein großes Banner mit „Gehackt von xy“ oder ähnlichem. Das wäre sogenanntes Defacement. Das gibt es zwar auch. Es ist für den Webseitenbetreiber zwar ärgerlich, aber an sich noch nicht weiter schlimm. Hier geht es eher um die Profilierung von Crackern, also sogenannten Skriptkiddies oder Black-Hat-Hackern.*
Richtig fies wird es für Webseitenbetreiber meistens erst dann, wenn man von dem Hack auf der Webseite auf den ersten Blick erst mal gar nichts sieht. Der Angreifer will dann nicht auffallen, sondern seine Kontrolle verbergen. Er hat andere Ziele und Pläne – und die lassen sich am besten verfolgen, wenn er unentdeckt bleibt.
Über die gehackte Webseite hat ein Angreifer außerdem auch Zugriff auf den darunterliegenden Server. Wieviel Schaden er damit anrichten kann und wie tief er darüber in den Server eindringen kann, hängt von dem jeweiligen Setup und dem Aufbau des Servers (u.a. der Rechtestruktur) ab. Das ist also von Fall zu Fall verschieden.
Wir gehen hier davon aus, dass eine Webseite auf einem vServer gehackt wurde. Der Angreifer hat darüber jetzt Zugriff auf PHP, MySQL, Apache und alles was sonst noch an Diensten darauf läuft.
Der Angreifer hat also durch die Webseite die volle Kontrolle über den Server und kann damit z.B.:
Die gehackte Webseite als Spamversender oder für den Versand von Phishingmails missbrauchen
Die meisten CMS verfügen über die Funktion, Emails zu versenden. Das wird z.B. bei integrierten Kontaktformularen gebraucht oder um Benutzer zu benachrichtigen. Diese Option machen sich Hacker gerne zu Nutze, um darüber massiv Spam zu versenden. In solchen Inhalten kann es um angebliche Gewinnspiele, gefälschte Pharma-Produkte oder vorgetäuschte Kontaktaufnahmen gehen. Also Dinge, mit denen man als Unternehmen eher nicht so gerne in Verbindung gebracht werden möchte. Absender der Spam-Mails ist die URL der betroffenen Webseite.
Sind in der Webseitenverwaltung auch noch ein paar Benutzer registriert, haben die Hacker gleich auch noch ein paar Empfänger mit verifizierten Emailadressen.
Noch schlimmer ist es, wenn darüber Phishingmails versendet werden. Das Risiko, dass jemand auf solche Emails reinfällt ist sehr hoch, weil der Absender ursprünglich legitime Interessen verfolgt hat. Die Empfänger werden solchen Emails eher vertrauen, wenn sie den Absender vielleicht kennen. Spam-Filter und Black-Lists müssen über diesen neuen Spam-Versendet erst noch informiert werden. Bis das passiert ist, gilt der Absender als legitim.
Den gehackten Server als Teil eines Botnetzes integrieren
Der gehackte Webserver kann als Teil eines Botnetzes integriert werden. Er wird dadurch zu einem sogenannten Zombie und kann von seinem Herrn und Meister (dem Hacker) ferngesteuert für die unterschiedlichsten Funktionen eingesetzt werden:
- Er kann als Proxy verwendet werden, um die eigentliche Herkunft einer Verbindung, z.B. eines Hackerangriffs zu verschleiern. Nach außen sieht es dann so aus, als ob der Angriff von dem gehackten Webserver aus stattgefunden hat. In Wahrheit war er aber nur Durchgangstor für den Angreifer, der eigentlich ganz wo anders agiert. Meistens wird eine ganze Kette solcher Proxy-Verbindungen hintereinander geschaltet. Je mehr es sind, umso schwerer wird es die ursprüngliche Quelle eines Angriffs zurückzuverfolgen. In den meisten Fällen verläuft sich die Spur.
- Es können von diesem Server aus DDoS Attacken ausgeführt werden. DDos-Attacken überlasten einzelne Dienste oder die ganze Infrastruktur des Angriffsziels. Die betroffenen Dienste brechen unter der Last der DDoS-Attacke zusammen und sind deshalb nicht mehr verfügbar. Gemacht wird so etwas hauptsächlich, um dem Opfer zu schaden. Bekannte Opfer solcher Attacken waren z.B. PayPal, Visa und Mastercard als sie 2010 die Sperrung der WikiLeaks-Konten veranlasst haben. In der Wikipedia finden Sie noch weitere Beispiele.
- Botnetze können für Klickbetrug verwendet werden. Die Bots klicken dabei auf Werbebanner eines Dienstleisters, der den hinter dem Botnetz stehenden Kriminellen dann dafür vergütet.
Diese Beispiele sind nur ein kleiner Auszug davon, was ein Angreifer mit einem Botnetz so alles anstellen kann. Es gibt noch viel mehr Möglichkeiten.
Über die gehackte Webseite werden Besucher mit Malware infiziert
Alleine schon durch das Aufrufen der gehackten Webseite wird versucht, den Computer des Besuchers mit Malware zu infizieren. Das nennt man Drive-by-Downloads (grob übersetzt: Download im Vorbeifahren). Es ist gar nicht nötig, dass der Besucher dazu manipuliert wird, ein Programm herunterzuladen oder irgendeine bewusste Handlung vorzunehmen. Der bloße Aufruf einer entsprechend manipulierten Webseite genügt. Auch das wird gerne im Rahmen eines Botnetzes umgesetzt.
Durch Manipulationen in den HTML oder CSS Seiten der gehackten Webseite wird versucht, über eine Schwachstelle im Webbrowser des Besuchers in sein System einzubrechen. Gelingt das, wird Schadcode auf dem betroffenen Computer installiert und der Angreifer hat Zugriff auf diesen PC.
Der Angreifer kann z.B. auch diesen PC als Teil eines Botnetzes einsetzen. Dafür eignen sich „Privat-PCs“ meist sogar besser als der Server der Webseite, weil Privatpersonen Ihre PCs meist viel weniger überwachen. Für das Serven im Internet haben die Meisten eine Flatrate. Bis ein erhöhter Netzwerkverkehr in einem Privathaushalt auffällt, kann es deshalb eine ganze Weile dauern. Es gibt auch heute noch sehr viele PC-Nutzer, die Betriebssystem und Programme nicht aktualisieren und keinen Malwareschutz einsetzen. Sie sind für Kriminelle leichte Beute.
Außerdem nutzen Privatpersonen ihren PC meistens auch fürs Onlinebanking und Onlineshopping. Bezahldaten und Kontoinformationen bei Onlinehändlern sind für Kriminelle natürlich sehr interessant. Ist ein PC gehackt, kommen die Angreifer z.B. mit einem Keylogger ganz einfach an die nötigen Passwörter. Manchmal geht das sogar noch einfacher. Z.B. wenn ein Benutzer eine Passwort-Datei verwendet, die ungesichert abgelegt ist.
Auch wenn ein Krimineller gerade keinen Bedarf an diesen Daten hat, sind sie für ihn wertvoll. Er kann sie auf entsprechenden Schwarzmarkt-Börsen unkompliziert und lukrativ weitergeben.
Die gehackte Webseite als Downloadportal für illegale Inhalte verwenden
Der Server der gehackten Webseite verfügt über Speicherplatz. Dieser Speicherplatz kann für die Verbreitung illegaler Inhalte verwendet werden. Das können z.B. urheberrechtlich geschützt Materialien wie Filme, TV-Serien oder Musik sein. Es können aber auch richtig krasse, strafrechtlich verbotene Inhalte verteilt werden.
Fazit
Die Möglichkeiten eine gehackte Webseite zu missbrauchen sind vielfältig. Was genau im Einzelfall damit passiert, lässt sich schlecht sagen. Aber eines steht fest: Die Folgen sind für den Webseitenbetreiber mindestens unangenehm.
Jetzt ist nur noch offen, welche Konsequenzen man in so einem Fall befürchten muss und was man als betroffener Webseitenbetreiber jetzt machen sollte. Darum wird es im dritten Teil dieses Beitrags gehen.
* Die Bezeichnung Hacker trifft auf solche Angreifer nur bedingt zu und differenziert nicht genug zwischen den unterschiedlichen Absichten und Bewegungen. „Hacker“ ist aber der Begriff, der sich in unserer Alltagssprache etabliert hat. Deswegen verwenden wir im Rest des Beitrags diese Bezeichnung, auch wenn sie nicht korrekt ist.