Jeder Server-Administrator weiß wohl wovon wir reden, leider sind Angriffe auf Webserver keine Seltenheit mehr und passieren öfter als man denkt. Als Webseitenbetreiber merkt man i.d.R. nur nie etwas davon, weil die Sicheitseinstellungen die Attacken automatisch abfangen.

Contentmanagementsysteme sollte man immer auf dem neuesten Stand halten, weil gerade die weit verbreiteten Systeme wie WordPress oder Joomla durch die schiere Masse ein große Angriffsfläche und "Spielwiese" für Hacker bieten. Diese versuchen Sicherheitslücken aufzusprüen und auszunutzen, oft nur aus spielerischen Gründen, um anderen zu zeigen, was sie drauf haben! Dann wird z.B. "nur" die Startseite ersetzt, was ärgerlich genug ist, aber ja im Prinzip sofort selber erkannt wird und rückgängig gemacht werden kann.

Ein Angriff ganz anderer Art ist in den letzten Tagen u.a. auch bei einem unserer eigenen Projekte erfolgt, mit sehr gravierenden Folgen:
Der Hacker hat sich Zutritt zum Webspace verschafft und hat die .hatccess-Datei modifiziert! Und das so derart hinterlistig und geschickt, dass man als Seitenbetreiber zunächst nicht auf den Fehler aufmerksam wird, bis die Seite dann plötzlich aus dem google-index verschwindet und man sich auf Fehlersuche begibt!!! Der Hacker hat die .htaccess-Datei so modifiziert, dass dort IP-Ranges definiert waren, und zwar die von google.

Kam also eine Anfrage an den Server mit einer google IP, wurde der googlebot auf eine nicht-existente Domain via 301 weitergeleitet und damit quasi "vor die Wand gefahren". Wurde die Seite via einer anderen nicht google zugehörigen IP angefragt, hat der Server alles korrekt an den Browser ausgeliefert! Somit konnten wir als Webseitenbetreiber zunächst auch keinerlei Fehler entdecken, zumal es sich um eine sehr alte gut gerankte Domain handelte, die nur von Zeit zu Zeit mit neuem Content gefüttert wurde, die seit Jahren auf TOP Positionen stand.

Alles in allem also sehr ärgerlich, vor allem weil wir gezielte Sabotage vermuten, denn "ScriptKiddies", hacken solche Seiten in der Regel nur um den Traffic gewinnbringend umzuleiten, oder eben nur fürs Ego um damit zu prahlen!

In diesem aktuellen Fall wurde mit dem Angriff gezielt ein Rauswurf aus dem google-index provoziert, vielleicht von Wettbewerbern, die auf Grund der Stärke und des Alters der Seite einfach unter vielen Keys im Ranking nicht daran vorbei kamen. Wir wissen es nicht und werden es vermutlich auch nie erfahren. Wir haben den Fehler natürlich sofort behoben und versuchen jetzt gemeinsam mit dem Hoster trotzdem herauszufinden, woher der Angriff kam und wer dahinter steckt, was aber schon jetzt recht aussichtslos scheint.

Laut unseres Hosters könnte die Ursache möglicherweise an sog. Trojanern liegen, die die FTP-Zugangsdaten lokal auf dem Rechner ausspähen und im Hintergrund versenden. Damit haben die Hacker dann natürlich leichtes Spiel! Einziges Mittel dagegen sind gute Antivirensoftwares und Firewalls.

Wir bleiben dran und sind gespannt, wie lange google benötigt, um das Projekt wieder vollständig zu indizieren und noch wichtiger auf die alten Positionen zu schieben!