Verdächtige Datenbankeinträge

Die Datenbank weist verdächtige Einträge auf. Welche Lösungswege und Schutzmaßnahmen können ergriffen werden?

Unsere Empfehlung

Wir empfehlen, einen mit Malware infizierten Shop durch erfahrene Entwickler:innen oder Sicherheitsfirmen prüfen zu lassen.

Wenn ein Online-Shop erfolgreich angegriffen wird, hinterlässt der Täter oft eigenen Programmcode, mit dem er zusätzliche Funktionen in den Shop einbaut (z. B. für das Abgreifen von personenbezogenen Daten oder Zahlungsdaten). Weil Datei-Manipulationen mittlerweile leichter entdeckt werden können (z. B. durch den Einsatz eines Versionskontrollsystems wie Git), beinhalten neuere Malware-Methoden das Ablegen von schädlichem Code in besonderen Datenbankeinträgen. Hierbei handelt es sich üblicherweise um solche, deren Inhalt zur Anzeige im Webbrowser vorgesehen ist (z. B. CMS-Elemente oder -Seiten). Der tatsächliche Schadcode wird über die Einbindung externer Dateien vom Browser nachgeladen, aber aufgrund der Einbindung auf einer Shop-Seite auch in dessen Kontext ausgeführt und hat so Zugriff auf Cookies und Formularinhalte.

Lösungsweg & Schutzmaßnahme

Neben der Wiederherstellung eines sauberen Stands durch Entfernen der Malware sollte auch analysiert werden, wie der Malware-Befall zustande kam (z.B. durch Analyse der erfolgten Zugriffe zur Aufdeckung des Einfallvektors) oder welche Konsequenzen der schädliche Programmcode nach sich zog.

Die Analyse von Datenbankänderungen ist ungleich komplizierter als bei Änderungen an Dateien, weil Änderungen in der Datenbank deutlich häufiger vorkommen und nicht leicht durch z. B. ein Versionskontrollsystem nachvollzogen werden können. Hat man bereits Anzeichen für einen Malware-Befall innerhalb der Datenbank, ist es zusätzlich möglich die gesamte Datenbank, inklusive Trigger und Routinen, in eine Dump-Datei zu exportieren und auf dem Cluster abzulegen, um danach einen erneuten Malware-Scan durchzuführen. Dieser prüft dann durch die Dump-Datei die vollständige Datenbank auf Malware-Muster.

Zur Bereinigung der Datenbank müssen in jedem Fall alle Vorkommen von Malware entfernt werden, weil andernfalls eine Neuinfizierung durch den Schadcode leicht möglich ist. Oftmals hilft nur die Wiederherstellung eines Backups vom Zeitpunkt vor dem Malware-Befall, wodurch jedoch ein entsprechender Datenverlust nicht immer vermieden werden kann.

Wenn Sie Ihren Shop auf ein vollständig sauberes System migrieren möchten, stellen wir Ihnen gerne einen zusätzlichen unabhängigen Cluster bereit. Kontaktieren Sie unsere Beratungsabteilung für die Konditionen und das notwendige Vorgehen.

Weitere Handlungsempfehlungen

Die häufigste von uns beobachtete Ursache für den Befall von Malware ist der Betrieb von alten Softwareversionen auf einem Cluster. Neben dem Shopsystem selbst können weitere Anwendungen, wie beispielsweise Blogsysteme oder Datenbankverwaltungen, veraltet sein und daher bekannte Sicherheitslücken aufweisen. Wir empfehlen daher allgemein die folgenden Verhaltensweisen:

  • Installieren Sie zeitnah alle Sicherheitsupdates, inklusive auch solche für Plugins sowie zusätzliche Software.
  • Trennen Sie ggf. besonders kritische Systeme, wie beispielsweise Shops mit Kundendaten, von möglicherweise nicht gut gewarteten Systemen bzw. Entwicklungsumgebungen.
  • Legen Sie Backup-Dateien, Datenbank-Exporte, Logdateien usw. nicht in vom Webserver erreichbaren Verzeichnissen ab. Diese Dateien können Informationen enthalten, mit welchen Ihre Anwendungen leicht angegriffen werden können.
  • Verwenden Sie sichere Passwörter, die Sie nicht bereits an anderer Stelle verwenden.

 

Bei Fragen steht Ihnen unser Support telefonisch unter 05251/414130 oder per E-Mail an support@maxcluster.de zur Verfügung.

Veröffentlicht am 08.03.2024