Hacker erkennen: Check My Site

Gelingt einem Hacker ein Einbruch in eine Webseite, versucht er meist, Schadcode in die Webseite einzubauen. Damit wird dann z.B. versucht, Trojaner über Schwachstellen im Browser der Besucher zu installieren. Oder der eingeschleuste Code manipuliert die Indexierung der Webseite durch die Crawler der Suchmaschinen. 

In den meisten Fällen erfolgt das Einschleusen des Codes durch automatisierte Skripte. Diese suchen nach index.php und index.html Dateien und fügen dort (oftmals durch Codierung verschleierten) Code ein. Da bei TYPO3 alle Anfragen über die zentrale index.php im Startverzeichnis erfolgen, wird ein dort eingebauter Code bei jedem Seitenabruf ausgeführt. 

Die Manipulation wird oft geschickt verborgen, damit sie lange unentdeckt bleibt und möglichst viele Besucher schädigen kann. Wir haben daher die Extension checkmysite entwickelt. Diese überprüft bei jedem Seitenaufruf die index.php Datei auf Schadcode nach etwa 60 Regeln. Wird eingeschleuster Code entdeckt, wird anstelle der üblichen Webseite eine frei definierbare Statusmeldung angezeigt oder der Aufruf an einen anderen Server umgeleitet. Gleichzeitig wird der Administrator der Seite per E-Mail informiert. 

Die Konfiguration der Extension ist denkar einfach: nach der Installation werden die E-Mail Adressen für die Benachrichtigung sowie der Statustext oder die Weiterleitungsadresse angegeben. Die E-Mail Benachrichtigungen werden in Intervallen wiederholt, die Rate kann ebenfalls angegeben werden.