Johannes Oppermann, der Autor der exzellenten BlogDesk-Software, hat mich angemailt und auf eines seiner weiteren Tools hingewiesen. Diesmal etwas aus der Waffenkammer: HackDetect (Windows 95, 98, NT, 2000, ME, XP und Vista, leider kein Mac noch Linux). Das Tool ist so simpel und einfach, wie nur möglich, let a pic speak:
Es scanned die Verzeichnisse auf dem Webserver und meldet, was verändert wurde. Was ich also bisher immer nur manuell gemacht habe (Anzahl Files und Größe der Files, das Tool kann aber noch mehr Parameter checken), kann ich automatisch und noch umfangreicher erledigen lassen. Way cool. Installieren auf dem PC, Serveradresse wie beim FTP angeben (IP/Domain, User+PW), Verzeichnisse auswählen, Scanvorgang regelmäßig anstoßen und verdächtige Änderungen anzeigen lassen. Dat wars. Ideal für das zeitige Bemerken von Blog-Hackereien, die letzte Zeit immens zugenommen haben. Ausgenommen Hacks, die direkt Einträge in die Datenbank schreiben, da kann HackDetect auch nix mehr machen. Es überwacht „nur“ die Verzeichnisse und Dateien des Blogs, wenn man es jetzt auf Blog-User bezieht (für diesen speziellen Fall gibt es für WordPress-Blogger auch etwas: DigoWatchWP)
Sinn? So wie in meinem Fall heute verändert ein Angreifer bestimmte Dateien auf dem Webserver, um sein Werk anzurichten. Das können bestehende Dateien sein (bei mir war es eine Datei im wpinclude-Ordner), das können natürlich auch frische Dateien sein, die der Angreifer hochlädt. So bleibt aber der Hack über den Detector nicht unbemerkt, denn ein Verzeichnis ändert damit umgehend seine Größe. Werde es gleich installieren und testhalber laufen lassen. Mehr später.
About zum Prinzip dieser Alarmanlage:
Das Prinzip ist ganz simpel: HackDetect macht sich beim Scannen eine Liste aller Dateien und merkt sich deren Eigenschaften (Soll-Zustand). Bei jeder Kontrolle wird dann überprüft, ob der aktuelle Ist-Zustand weiterhin dem Soll-Zustand entspricht. Werden Abweichungen entdeckt, erhalten Sie einen detaillierten Report mit allen neuen, fehlenden oder veränderten Dateien.
Update:
Installation ging super glatt. Kurz den Zielserver angegeben und HackDetect scanned momentan die Verzeichnisse. Bei der Installation sieht man auch bereits am Optionsmenue, welche Parameter überwacht werden:
Johannes, kurze Frage: Das Limit von 1.000 Verzeichnissen habe ich beim ersten Komplettscan erreicht. Habe nun eher unwichtige Verzeichnisse ausgenommen, so dass ich unter das Limit komme. Gabs ein KByte-Limit im Programm bei den Variablen bzw. Arrays oder wie kommt die Grenze von 1.000 Verzeichnissen zu Stande? Wäre imho einer Verbesserung, wenn man kurz vor dem ersten Scan ein Programm drüberlaufen lässt, das die Anzahl der Verzeichnisse durchzählt und dem User angibt, dass er beim Scan das Limit erreichen wird. So war / ist mir unklar, welche Verzeichnisse bzw. Unterverzeichnisse das Tool nicht erfasst hat, die ich aber gerne überwachen lassen würde. Es stand auch nirgens was von 1.000er Limit, einfach beim Konfigurieren im Server-Menue darauf hinweisen;) Zentralproblem ist beim Erreichen des Limits nochmals kurz zusammengefasst: Welche Verzeichnisse sind außen vor geblieben und wie bemerkt das Tool das unerlaubte Anlegen neuer Verzeichnisse, sobald Limit wieder erreicht wurde? Was für einen Blogger an sich kein Probblem darstellen sollte, da mW kein Blog-System auch nur annähernd an die 1.000 Ordner anlegt. Kommt nur dann vor, wenn man mehr auf dem Server laufen hat bzw. mehrere Blogs angelegt hat.
Und Frank verweist btw auf spezielle WordPress-Lösungen, einfach mal in diesen Sicherheits-Thread reinschauen (aber Obacht, einige Plugins sind nix für schnelle Finger;)
