In den vergangenen Tagen sorgte eine Sicherheitslücke in Magento für Sorgenfalten auf der Stirn von Händler. Wie verhalten Sie sich richtig, wenn Sie den Verdacht haben, Ihre Website oder Shop könnte mit Malware infiziert sein?

Das Rennen dürfte so alt wie die Entwicklung von Software selbst sein: Angreifer versuchen, Lücken im System zu finden, um diese für sich auszunutzen. Die Programmierer schließen die Lücke und machen eventuell einen anderen Fehler, der erneut ausgenutzt wird. Dieses (ärgerliche) Wettrennen hält eine ganze Branche in Schwung. Die Anbieter von Virenscannern leben prächtig davon. Der Leidtragende ist der Anwender, dessen System dann dazu genutzt wird, schädlichen Programmcode weiter zu verteilen. Und das kann auch jeden Händler treffen, egal ob nun Magento oder ein anderes System eingesetzt wird. Aber was tun, wenn es soweit ist, oder sich der Verdacht einschleicht, die Installation könnte betroffen sein?

Keine Panik - Schaden analysieren

Panik ist ein schlechter Ratgeber. Das gilt insbesondere bei der Analyse und Behebung von Schäden an IT-Systemen. Natürlich ist im Notfall Eile geboten, mit planvollem Verhalten kommen Sie aber besser voran.

Wenn Sie lediglich den Verdacht haben, Ihr Shop könnte, vielleicht bereits seit längerer Zeit, mit schädlichem Code infiziert sein und diesen verbreiten, besuchen Sie zum Beispiel die Google-Seite zum Safe Browsing. Tragen Sie dort die URL Ihres Shops ein und warten Sie das Ergebnis ab. Falls die Seite dort als unauffällig eingestuft wird, bedeutet dies noch nicht, dass das System nicht gerade in diesem Moment infiziert wurde. Die Site ist aber bei Google noch nicht in Erscheinung getreten, d.h. die für das Ansehen des Händlers schädlichen Konsequenzen, wie Warnhinweise auf den Ergebnisseiten von Google oder im Browser sind noch nicht vorhanden.

Malware-Überprüfung bei Google
Malware-Überprüfung bei Google

Oberstes Gebot - Patches einspielen

Händler, die Ihre Installationen von Magento, Wordpress oder anderen Systemen selbst pflegen, sollten aufmerksam die Schlagzeilen von IT-Magazinen im Netz lesen oder sich einen Google Alert für das genutzte System einrichten. Dort wird am schnellsten über aktuelle Lücken berichtet und meist auch bereits erste Gegenmaßnahmen skizziert. Das Abonnement von Newslettern zum Thema ist aber auch für die Shopbetreiber nützlich, die die Pflege und Wartung des Systems an einen Dienstleister vergeben haben. Es schadet ja nichts, sich dort einmal nach dem aktuellen Stand zu erkundigen.

Die wichtigste Gegenmaßnahme gegen Malware besteht, so schlicht das auch klingt, in einem System, das auf dem aktuellen Stand gehalten wird. Besitzt die Software einen Mechanismus zur automatischen Aktualisierung, sollte dieser auch aktiviert sein. Und wenn es im Falle eines aktuellen Bedrohungsszenarios einen besonderen Patch gibt, muss diese schnellstmöglich eingespielt werden.

Code und Datenbank überprüfen

Schadprogramme nehmen an der eingesetzten Installation immer Veränderungen vor, die mal mehr oder weniger leicht aufgespürt werden können. Ein prüfender Blick sollte der Datenbank gelten. Insbesondere, was die hinterlegten Benutzer betrifft. Sind in der Datenbank tatsächlich nur die Accounts enthalten, die Zugriff haben sollten? Oder taucht dort plötzlich ein "Backup-User" auf, den Sie gar nicht eingerichtet haben?

Ein beliebtes Einfallstor sind auch die Vorlagen der Seiten (Template). Im einfachsten Fall zeigt die Dateistruktur bereits ein aktuelles Änderungsdatum der Dateien an. Grundsätzlich sind Skriptaufrufe in Header- oder Footer-Dateien verdächtig und es sollte genau nachgesehen werden, was darin denn aufgerufen wird.

Mit Online-Scannern lassen sich Sicherheitslücken von Shopsystemen, wie hier Magento, überprüfen
Mit Online-Scannern lassen sich Sicherheitslücken von Shopsystemen, wie hier Magento, überprüfen

Basiert das System auf PHP-Dateien, dann kann bereits die Suche mit einem Texteditor nach "base64_decode()" und "eval()" eventuellen Schadcode zu entdecken. Dann sollte die Datei durch eine nicht infizierte Originalversion ersetzt werden.

Sicherheits-Plug-ins installieren

Für die populärsten Contentmanagement- und Shopsysteme gibt es inzwischen eine ganze Reihe von Plug-ins, die das System auf Schadbefall untersuchen und auch auf offene Sicherheitslücken hinweisen. Deren Installation ist also durchaus empfehlenswert. Als Beispiele sind etwa die Produkt von Sucuri genannt. Die Macher von Magento empfehlen selbst einen Scan mit https://www.magereport.com/ durchzuführen.

Dienstleister beauftragen

Wer sich die Aufräumarbeiten nicht selbst zutraut, kann auch auf das Angebot von Dienstleistern zurückgreifen. Die meisten Hersteller von Sicherheits-Plug-ins bieten auch die Option, das System von schadhaften Code zu befreien an.