Defacement

Ein Defacement (auch „Website‑Defacement“ genannt) ist ein Angriff, bei dem ein Angreifer unautorisiert Inhalte auf einer Webseite verändert oder ersetzt. Typischerweise wird die Startseite oder ein prominenter Bereich mit einer politischen Botschaft, einem Propagandaplagat, einer Schadmeldung oder einfach nur mit Graffiti‑ähnlichen Bildern überschrieben. Das Ziel ist meist Publicity, Demotivation des Betreibers oder das Zeigen von Sicherheitslücken.

Wie ein Defacement abläuft

1. Reconnaissance (Aufklärung) – Der Angreifer sammelt Informationen über die Zielseite (CMS‑Version, Plugins, bekannte Schwachstellen, Server‑Header).
2. Exploitation (Ausnutzung) – Nutzung einer Sicherheitslücke (z. B. unsichere Datei‑Upload‑Funktion, SQL‑Injection, Remote‑File‑Inclusion, unsichere FTP‑/SSH‑Zugangsdaten).
3. Web‑Shell‑Platzierung – Hochladen einer PHP‑/ASP‑Shell oder eines Skripts, das dem Angreifer Remote‑Control ermöglicht.
4. Datei‑Manipulation – Ersetzen der Original‑HTML‑/Template‑Datei (häufig index.html, index.php oder das Theme‑Template) durch eigene Inhalte.
5. Defacement‑Anzeige – Sobald Besucher die Seite aufrufen, sehen sie die manipulierten Inhalte.
6. Cleanup (optional) – Der Angreifer kann Spuren verwischen (Log‑Einträge löschen) oder die Seite wiederherstellen, um die Attribution zu erschweren.

Typische Merkmale eines Defacements

• Visuelle Veränderung – Banner mit eigenem Logo, Text wie “Hacked by [Name]”, politische Statements.
• Veränderte Meta‑Daten – Title‑Tag, Description werden modifiziert, um Suchmaschinen‑Ergebnisse zu beeinflussen.
• Einbindung von Schadcode – Oft werden Skripte eingefügt, die Besucher zu Malware‑Seiten weiterleiten (Drive‑by‑Downloads).
• Zeitstempel – Viele Defacers hinterlassen das Datum und ihre Nicknamen (z. B. “@HackTeam 2024‑06‑19”).

Häufige Angriffsvektoren

Sofortmaßnahmen nach einem Defacement

1. Server‑Isolation – Webseite offline nehmen, um weiteren Schaden zu verhindern.
2. Log‑Analyse – Prüfen von Web‑Server‑Logs, FTP‑/SSH‑Logs, Datenbank‑Logs auf ungewöhnliche Aktivitäten.
3. Dateiintegrität prüfen – Vergleich mit Backup‑Versionen, Nutzung von Tools wie Tripwire oder AIDE.
4. Passwörter neu setzen – FTP, SSH, CMS‑Admin‑Konten, Datenbank‑Benutzer.
5. Sicherheitslücken schließen – CMS, Plugins, Server‑Software auf aktuelle Version aktualisieren.
6. Backup wiederherstellen – Saubere, unveränderte Kopie einspielen und testen.
7. Incident‑Report – Dokumentation des Vorfalls für interne Zwecke und ggf. für Gesetzes‑/Compliance‑Meldepflichten.

Präventionsstrategien

• Regelmäßige Updates von CMS, Plugins, Libraries und Server‑OS.
• Starke Authentifizierung – komplexe Passwörter, 2‑Factor‑Authentication (2FA) für allen Admin‑Zugriff.
• Least‑Privilege‑Prinzip – Nur notwendige Berechtigungen für Nutzer und Prozesse vergeben.
• Web‑Application‑Firewall (WAF) – Filterung von schädlichen Requests (z. B. ModSecurity).
• Datei‑Upload‑Validierung – Nur erlaubte MIME‑Typen, Virenscan, sichere Speicherorte außerhalb des Web‑Root.
• Sichere Konfiguration – Deaktivieren von allow_url_include, exec, shell_exec in PHP; korrekte Dateiberechtigungen (chmod 644 für Dateien, chmod 755 für Verzeichnisse).
• Monitoring & Alarme – Echtzeit‑Überwachung von Datei‑Änderungen, ungewöhnlichem Traffic, Alert‑Systeme (z. B. Splunk, ELK‑Stack).

Rechtliche Aspekte

• In vielen Ländern (z. B. Deutschland, USA) ist das Defacen eine Form von Computer‑Missbrauch und kann strafrechtlich verfolgt werden (§ 202a StGB, Computer Fraud and Abuse Act).
• Betreiber sollten Beweismaterial sichern (Logs, Screenshots) und gegebenenfalls Strafverfolgungsbehörden informieren.