Einbrüche entdecken mit Hacking-Logger

Mit dem Seolingo Hacking-Logger können Sie den FTP-Zugang zu Ihrer Webseite regelmäßig scannen und so Einbrüche frühzeitig erkennen. Bei Einbrüchen werden oft Template-Dateien modifiziert oder Malware auf dem Webspace platziert. Mit Hacking-Logger haben Sie dies immer im Blick und können auf Bedrohungen direkt angemessen reagieren.

Funktionsprinzip

Hacking-Logger scannt Ihren kompletten FTP-Server und loggt dabei mit, welche Dateien vorhanden sind, wann sie geändert wurden und welche Dateigröße sie besitzen. Die Dateiinhalte werden dabei nicht gelesen, sondern nur die genannten Dateieigenschaften.

Nachdem so ein komplettes Abbild des FTP-Servers erstellt wurde, können Sie darin nach verdächtigen Mustern suchen. Gibt es z.B. exe-Dateien, die Sie nicht selbst hochgeladen haben? Wurden andere Dateien geändert, ohne dass Sie davon etwas wissen?

Um Ihnen die Suche nach verdächtigen Aktivitäten zu erleichtern, hat Hacking-Logger ein weiteres nützliches Feature: wenn sie einen FTP-Scan nach einiger Zeit wiederholen, werden explizit die Unterschiede zum letzten Scan dargestellt. Sie sehen also, welche Dateien sich seit dem letzten Scan geändert haben. Finden Sie hier z.B. Template-Dateien von WordPress-Themes, obwohl Sie die Themes nicht aktualisiert haben? Dann sollten Sie schnell misstrauisch werden. Auch Änderungen an .htaccess-Dateien, die Sie nicht selbst vorgenommen haben, sollten unbedingt überprüft werden.

Wenn Sie eine verdächtige Datei gefunden haben, sollten Sie die Datei herunter laden und sich den Inhalt ansehen. Präsentieren Sie die verdächtige Datei im Zweifel einem Experten und lassen ihn beurteilen, ob es sich um einen Hack handelt oder nicht.

In unserem Blogpost „Hacks aufspüren mit Hacking-Logger“ wird genauer erklärt, wie man bei der Suche nach Hacks am besten vorgehen sollte.

Bedienung von Hacking-Logger

Im Konfigurationstab geben Sie zunächst die Zugangsdaten zu Ihrem FTP-Server ein. Die Daten werden verschlüsselt auf Ihrer Festplatte gespeichert.

Standardmäßig wird die Verbindung zum Server verschlüsselt via SSL hergestellt, damit niemand Zugangsdaten oder Inhalte mitlesen kann. Jedoch unterstützt nicht jeder FTP-Server auch die verschlüsselte SSL-Verbindung. Falls eine Verbindung via SSL nicht möglich ist, benutzt Hacking-Logger automatisch eine unverschlüsselte Verbindung.

Wenn Sie das nicht möchten, aktivieren Sie die Checkbox „Nur SSL verwenden“. So können Sie sicherstellen, dass keine unverschlüsselte Verbindung zu Ihrem Server hergestellt wird. Ist eine SSL-Verbindung nicht möglich, erhalten Sie in dem Fall einen Hinweis, dass die Verbindung nicht hergestellt werden konnte.

Nachdem Sie Ihre Daten eingegeben haben, können Sie den Scan starten. Das kann nun je nach Anzahl der Dateien und Verzeichnisse auf dem Server schonmal etwas dauern. Eine einzelne WordPress-Installation auf dem Server benötigt ca. 2 – 5 Minuten für den Scan, haben Sie mehrere Installationen, multipliziert sich diese Zeit entsprechend.

Ausblenden von Dateien und Verzeichnissen

Manche Dateien ändern sich auch ganz ohne Ihr Zutun und das ist völlig legitim. Haben Sie z.B. ein Caching-Plugin installiert, kann dieses Dateien auf Ihrem FTP-Server ablegen. Auch Log-Dateien werden meist vom Webhoster automatisch im Webspace abgelegt.

Solche Dateien können Sie für Ihre Analyse ausblenden, damit Sie den Überblick nicht verlieren und wirklich relevante Änderungen nicht übersehen. Sie können daher Muster eingeben, die bei der Darstellung dann ignoriert werden: jede Datei und jedes Verzeichnis, das ein angegebenes Muster enthält, wird in den Auswertungstabellen nicht mehr angezeigt.

Sie können diese Filterung übrigens jederzeit ändern, sodass zuvor ausgeblendete Dateien wieder angezeigt werden.

Suche

Im Suche-Tab werden nach Abschluss des Scans alle gefundenen Dateien und Verzeichnisse aufgelistet. Die Einträge können nun z.B. nach Änderungsdatum sortiert werden, um die letzten Änderungen leicht zu finden. Zudem kann der angezeigte Datumsbereich eingegrenzt werden oder es kann durch Eingabe eines Suchwortes ganz speziell nach Dateien gesucht werden (z.B. „.exe“, „.zip“, „.rar“, usw).

Änderungen

Wenn Sie mehrere Scans desselben FTP-Servers durchgeführt haben, können Sie sich im Tab Änderungen die Unterschiede zwischen den einzelnen Scans anzeigen lassen. Es werden hier alle Dateien und Verzeichnisse aufgelistet

• deren Dateidatum sich geändert hat,
• deren Dateigröße sich geändert hat,
• die seit dem letzten Scan neu hinzugekommen sind oder
• die seit dem letzten Scan entfernt wurden.

Einzeldateien

Bei Hacks werden oft nur einzelne Dateien innerhalb eines Ordners abgeändert, z.B. wenn Malware hochgeladen wird oder ein Theme-Template modifiziert wird. Im Tab „Einzeldateien“ werden solche Dateien aufgelistet, bei denen sich das Änderungsdatum von den anderen Dateien im selben Ordner unterscheidet. Es kann völlig legitime Gründe haben, wenn eine Datei ein anderes Änderungsdatum aufweist, als andere Dateien im selben Ordner, dennoch empfiehlt sich hier eine genauere Prüfung.

Wenn Sie mit der Maus über eine Pfadangabe im Tab „Einzeldateien“ fahren, sehen Sie im Tooltip, welche andere Dateien sich im selben Ordner befinden und wann diese Dateien geändert wurden. So können Sie eine schnelle Einschätzung treffen. Im Zweifel sollten Sie eine Datei auf Ihren Rechner herunter laden und dort manuell prüfen.

Hacking-Logger beziehen

Wenn Sie bereits eine Lizenz für Seolingo gekauft haben, können Sie damit auch Hacking-Logger verwenden. Laden Sie das Tool einfach auf unserer Download-Seite herunter und geben Sie Ihren Seolingo-Lizenzschlüssel im Hacking-Logger ein.

Wenn Sie keine Lizenz für Seolingo besitzen, können Sie eine separate Lizenz für die Seolingo Tools erwerben. Die Lizenzkosten für 1 Jahr betragen 15 Euro (inkl. Mwst.). Sie können die Lizenz hier erwerben.