Wie "hackt" man eine Website?

[McMoneysack91]

Liebe Freunde,

ich bin ein Laie in puncto IT. Immer wieder hört man dieses geile 90'er Wort "hacken". Die und die Website wurde gehackt. Eine Hackerbande legte die und die Seite lahm, etc.

Wie genau funktioniert das Hacken? Nehmen wir ein ganz einfaches minimalistisches Beispiel:

Ich erstelle eine Website bestehend aus einer einzigen HTML-Datei (mysite.html) und hoste diese in einem Verzeichnes auf meinem Raspberry Pi (welcher mir als Server dient). Auf dem Raspberry Pi läuft ein RaspberryPi-OS ARM. Bei z.B. 1&1 hole ich mir die Domain meineseite.com, über welche man meine Website aufrufen kann. Mein RaspberryPi ist 24/7 im Betrieb und via Ethernet-Kabel an meinen Router angeschlossen.

Frage:

Jetzt denkt sich ein "Hacker": "Hah! Ich werde seine Seite jetzt mit einer hässlichen Aufschrift 'wer das liest ist doof' blockieren." Wie macht er das? Ich denke, er muss ja in mein Verzeichnis auf dem RaspberryPi kommen, in dem die mysite.html liegt, um dort eben statt meines Contents seine <p>wer das liest ist doof'</p> Message einzubinden.

Wie kann er das bewerkstelligen? Wie "Hackt" man eine solch simple Seite, die im eigenen Arbeitszimmer auf sowas unspektakulärem gehostet wird wie einem Raspberry Pi?

Was müsste ich als Betreiber der Seite "Blödes" tun, um dem Hacker das Tun zu vereinfachen? Und wenn ich nichts tue? Die Seite einfach existieren lasse? Hat der Hacker überhaupt eine Handhabe? Oder lebt er gerade davon, DASS ich etwas falsch mache?

 

[xxMuahdibxx]

er macht das mit Wissen ... und mit dem Unwissen der anderen.

Da du nicht weist wie man hackt ... weist du auch nicht wie man eine Seite zu 100 % sicher betreibt ergo gibt es immer einen Angriffspunkt.

Somit kann man nicht mal sagen was du für "Blödes" tun musst ... sondern die Analyse müsste viel Tiefgründiger sein.

Daher werden sogar Hacker von Firmen angagiert um deren IT auf hackbarkeit zu überprüfen ... oder sie werden sogar eingestellt um das System noch sicherer zu machen.

 

[wern001]

es gab eine zeit da kommte man im browser mit der passenden anzahl von ..\ auf das root verzeichniss vom Server kommen :-)

Allerdings wenn Du hier fragen must dann fehlen dir schon die grundkenntnisse

 

[BenneX]

Was müsste ich als Betreiber der Seite "Blödes" tun, um dem Hacker das Tun zu vereinfachen? Und wenn ich nichts tue? Die Seite einfach existieren lasse? Hat der Hacker überhaupt eine Handhabe? Oder lebt er gerade davon, DASS ich etwas falsch mache?

Z.B. einen root Zugang von außen offen lassen, damit der "Hacker" dann die Dateien entsprechend verändern kann.
Oder eine Sicherheitslücke ausnutzten um ebendiesen root-Zugang zu erhalten.

 

[snaxilian]

Indem man Sicherheitslücken der verwendeten Software ausnutzt (selten wenn Software aktuell ist) oder man nutzt aus, dass der Admin schlampig ist beim patchen und nutzt dementsprechend bekannte Sicherheitslücken in der veralteten Software aus oder man nutzt aus, dass der Admin aus Versehen oder Unwissenheit Konfigurationsfehler vorgenommen hat, wie z.B. ein document root was für jeden beschreibbar und somit änderbar ist.
Oder man nutzt andere Lücken aus, z.B. weil der Admin aus Faulheit auch den SSH-Port öffentlich erreichbar gemacht hat und ein erratbares Kennwort verwendet anstatt SSH Keys und/oder 2FA/MFA. Oder man erschleicht sich das Vertrauen des Admins um Zugang zu bekommen oder den Admin dazu zu bringen etwas auszuführen. Das ist dann klein klassisches hacken in dem Sinne mehr sondern anstatt das Ziel direkt anzugreifen sucht man sich deutlich schwächere Punkte zum Einstieg. Das wäre dann das Thema Social Hacking/Engineering.

Egal wie man es aber anstellt: Alle Varianten erfordern Wissen und Erfahrung.

edit:

es gab eine zeit da kommte man im browser mit der passenden anzahl von ..\ auf das root verzeichniss vom Server kommen

Diese Zeit... du meinst damit 2021, korrekt?

 

[cloudman]

Siehe z.b https://blog.malwarebytes.com/exploits-and-vulnerabilities/2021/10/apache-http/
Wer nicht patched oder die falsche Konfiguration verwendet ist angreifbar

 

[omavoss]

Man setzt auf einem Raspi einen veralteten Apache-Server auf, hostet darauf die zu hackende Webseite und testet die Sicherheit mit diversen Tools, die fast alle in kali-linux enthalten sind. Diverse YT-Videos helfen für den Anfang.

Wenn man sich dort eingearbeitet hat, weiß man, wie gehackt wird.

 

[BeBur]

Wie kann er das bewerkstelligen?

Bin selber kein 'hacker' aber sicherlich würde man als erstes schauen, welche Dienste so erreichbar sind. Statische Seite schließt sowas hier schonmal aus, aber auch bei einer statischen Seite ist die Chance nicht schlecht, dass ein Wordpress o.ä. dahinter steckt. In dem Fall geht man bekannte kritische Sicherheitslücken durch bzw. versucht die Version heraus zu finden. Wenn nur eine statische Seite (+ login auf einer nicht verlinkten Unterseite) verfügbar ist, dann würden imHo nur Lücken mit sehr hohem Score (9-10) in Frage kommen. Das sind Lücken, die in einem sehr allgemeinen Kontext verwendbar sind und mehr oder weniger sofort zu einem erfolgreichen Einbruch führen.
Die sind aber offenbar alle sehr alt, aber lohnenswert wäre sicherlich noch, einschlägige Wordpress-Plugins abzugrasen. Selbiges für den Webserver.
Dann Infrastruktur. Konfigurations'fehler' sind nicht schrecklich unüblich, ich persönlich würde vermutlich schauen, ob ich über leaks an credentials von dir komme, also login+passwort und schauen, ob du bei ssh, also deinem "RPI-Login" die selben Daten benutzt. Die Chancen sind auch nicht zu schlecht, dass weiterhin der Standardnutzer auf dem RPI läuft und ggf. ist sogar erlaubt, sich damit per ssh einzuloggen -> Bingo. Dein Router, viele sind veraltet, alle sind sehr schlecht programmiert. Bei welchem ISP du bist lässt sich raus finden, im Idealfall hast du irgend so ein Teil wo alles mögliche per Standard aktiviert ist. Man würde aber vermutlich als allererstes bei dir vorbei fahren und einen Angriff gegen dein Wifi-Passwort machen. Dafür muss man nur kurz vor Ort sein um die Daten zu kriegen und kann dann zuhause mit angemieteten Computing Kapazitäten sich an Bruteforce versuchen. Wenn du ein kurzes Passwort hast oder "Schmidtstraße666" oder sowas, dann ist das schnell geknackt und im Netzwerk zu sein ist schonmal ein sehr guter Einstieg.
Das sind so Methoden aus der Kategorie "des kleinen Mannes".

Wenn China hackt dann kaufen/suchen/finden sie Sicherheitslücken die erlauben, dass eine Website nicht mehr vom Browser beschränkt wird und eine zweite, damit die Website auch vom Betriebssystem nicht mehr beschränkt wird und installieren dir einen Virus auf dein iPhone nur dadurch, dass du eine entsprechend präparierte Website ansurfst. Russland hat mal den Email-Traffic von einigen US-Behörden umgeleitet um den ohne Transportverschlüsselung (also z.B. POP3) abzufischen. Die USA betreiben solches Umleiten schon seit 10 Jahren gegenüber einschlägigen ganzen Staaten.
Es gibt auch einen großen Schwarzmarkt für kritische Lücken, d.h. du kannst dir Lücken zusammen kaufen.

So auf harter technischer Ebene ist das oft ganz banal so: Software X bietet einen login an und verarbeitet die Eingaben des Nutzers. Und macht dies leider falsch, so dass wenn du statt einem login eine zu lange Zeichenkette oder eine 'besonders schlaue' Zeichenkette sendest, dann schmiert das Ding ab, macht etwas was es nicht soll, übergeht einen Security check, o.ä.

Generell: Je komplizierter der Aufbau, desto besser die Chancen, eine Lücke zu finden, sei es ein Software Exploit, ein Konfig-Fehler oder halt eine Kombination. Veraltete Software ist natürlich am besten, man stelle sich vor, du verwendest Windows 7 -> Lottogewinn.

 

[rg88]

Was müsste ich als Betreiber der Seite "Blödes" tun, um dem Hacker das Tun zu vereinfachen?

Oh, das ist ziemlich einfach. Gutes Beispiel siehst hier:
Drück zum Beispiel mal WIndows-Taste + R und gib folgendes ein (ohne die Anführungsstriche natürlich):
"shutdown -m \ 127.0.0.1 -r -f"

 

[SI Sun]

Sobald Laien über "Hacker" genauso wie über "KI" reden, also der größte Teil der Bevölkerung, ist alles gemeint was die nicht verstehen.

Selbst in Zeitungen wird oft von Hackern gesprochen, die keine Hacker sind.
Klick mal auf einer Seite "Rechtsklick / Untersuchen". Sobald die Leute das sehen, denken die gleich du wärst jemand der die Seite hackt.
Und da kannst du tatsächlich auf vielen Seiten die Einträge umschreiben und somit Texte, Überschriften, Kreuze, etc. ändern. Auf einigen Seiten (für Schulen), kannst du sogar Lösungen sehen bzw. Antworten die falsch sind als richtig markieren.

 

[BeBur]

Drück zum Beispiel mal WIndows-Taste + R

Interessanter ist es da schon, wenn per CSS/JS ein zweiter Befehl unsichtbar (beim surfen auf der website bzw. markieren des Textes) mit eingebettet wird neben dem was man als 'kopier das hier das löst dein Problem' verkauft und jemand nicht aufpasst und einfach STRG+V/Enter drückt wie schon tausend mal vorher aber da halt plötzlich noch was mitkopiert wurde was man vorher nicht gesehen hat.

 

[rg88]

@BeBur Ja klar, man kann das natürlich offensichtlich oder nicht sichtbar abziehen. Im Grunde ist es egal. Die einfachste Art ist immer, wenn man eine Person dazu bringt etwas zu machen, die sich bereits im Netzwerk befindet, anstatt erst mühsam nach einer Lücke zu suchen. Faktor Mensch ist und bleibt die größte Gefahr

 

[Dalek]

Eine statische Webseite zu hacken ist generell sehr schwer bis unmöglich. Da müsste es eine Sicherheitslücke in deinem Webserver geben, also z.B. in Apache oder Nginx. Das ist eine recht seltene Art von Sicherheitslücke, im allgemeinen ist eine statische Seite recht sicher. Aber natürlich sollte man auch die Webserver immer aktuell halten. Dann gibt es noch diverse Fehlkonfiguration die da möglich sind wenn man da zu viel verändert das man nicht versteht.

Viel wahrscheinlicher sind andere Fehler hier. Bist du dir sicher das du weisst welche Ports zum Internet hin erreichbar sind von deinem Pi? Ist da evtl. SSH offen? Und hat SSH ein Passwort konfiguriert oder einen private key? Hat der Pi evtl. ein Standarduser und Passwort, und sind die immer noch aktiv?

Wenn du ein Passwort für SSH verwendest, dann stoppe erstmal hier. Informier dich wieso private keys viel besser sind, richte das ein und stell sicher das SSH nur mit private keys funktioniert. Und wenn es nicht notwendig ist, dann sollte SSH gar nicht vom Internet her erreichbar sein.

Dann finde heraus welche Ports vom Internet heraus auf deinem Pi erreichbar sind, und was da für Software läuft. Wenn das mehr als HTTP/S und SSH ist, dann ist schonmal was falsch.

Eine statische Seite halbwegs sicher zu betreiben ist kein Hexenwerk. Aber es gibt ein paar Grundlagen die man verstehen muss.

 

[cruse]

F12 ist der beste hack

 

[foo_1337]

Oft reicht eine config.php.bak schon aus um einen Einstieg zu haben Oder geleakte API keys im json usw usf.

Zum Thema hier: Wieso sollte man eine statische html Seite auf nem PI zuhause hosten? Da wird doch sicher mehr dahinter stecken? Wenn nicht, buche dir ein s3 bucket dafür und gut ist

 

[Dalek]

Zum Thema hier: Wieso sollte man eine statische html Seite auf nem PI zuhause hosten? Da wird doch sicher mehr dahinter stecken? Wenn nicht, buche dir ein s3 bucket dafür und gut ist

Also S3 würde ich jemandem der keine Ahnung hat wirklich nicht empfehlen. Da kann man sehr böse Überraschungen mit der Rechnung erleben.

Aber klar, eine einfache VM bei Hetzner, DigitalOcean oder irgendwem anderes für <5 EUR im Monat ist fast immer die bessere Idee.

 

[foo_1337]

Also S3 würde ich jemandem der keine Ahnung hat wirklich nicht empfehlen. Da kann man sehr böse Überraschungen mit der Rechnung erleben.

while true; do wget https://foo.s3.amazonaws.com/foo/bar >/dev/null; done?
Klar, ein bisschen Einlesen sollte man sich schon. Gerade auch was die Permissions angeht.
Auch bei der Hetzner VM, denn damit ist je nachdem was gemacht wird auch schnell Schindluder getrieben.

 

[Sykehouse]

Um eine statische Website zu hosten, braucht man keine VM, schon gar nicht als Laie. Dafür gibts tada Webhoster...

 

[kim88]

Eines der grössten Probleme sind auch JavaScript Libaries. Oft werden die nicht aktuell gehalten, sondern einmal eingerichtet und installiert und dann vergessen.