Wiederherstellung einer kompromittierten Moodle-Site
Aus MoodleDocs
Erste Schritte
- Kontaktieren Sie Ihren Provider, falls Sie Ihr Moodle hosten lassen.
- Schalten Sie die Moodle-Installation unverzüglich in den Wartungsmodus oder besser noch: Nehmen Sie sie vollständig vom Netz.
- Besorgen Sie sich vom Backup alle verfügbaren Sicherungen der Moodle-Datenbank und des Moodle-Datenverzeichnisses.
- Erstellen Sie eine aktuelle Sicherung der Moodle-Datenbank, des Moodle-Datenverzeichnisses und des Moodle-Verzeichnisses (ohne die alten Backups zu überschreiben).
- Erstellen Sie eine komplette Liste aller PHP-Software-Applikationen, die auf Ihrem Server installiert sind.
- Notieren Sie Ihre Moodle-Version und das Datum der letzten Aktualisierung.
- Erstellen Sie eine Liste aller installierten Zusatzmodule, die nicht zur Standardinstallation von Moodle gehören, sowie eine Liste aller Codeanpassungen, die Sie selbst vorgenommen haben.
Analyse des kompromittierten Systems
- Finden Sie heraus, wann genau Ihr Moodle kompromittiert wurde.
- Suchen Sie nach geänderten oder hochgeladenen Dateien auf Ihrem Webserver. Suchen Sie nach der ältesten Datei, die nicht zu Moodle gehört.
- Prüfen Sie Ihre Server Logfiles und fahnden Sie nach verdächtigen Aktivitäten rund um dieses Datum bzw. einige Stunden davor, z.B. nach komischen Seitenparametern, fehlgeschlagenen Anmeldeversuchen, Befehlshistorie (besonders vom Nutzer root), unbekannten Nutzerkonten, usw.
Wiederherstellung
- Nehmen Sie das letzte Backup direkt vor der Kompromittierung und stellen Sie es wieder her.
- Laden Sie die aktuelleste Moodle-Version herunter und aktualisieren Sie Ihre Moodle-Installation.
- Ändern Sie Ihre Kennwörter.
Umgang mit Spam
- Spam in Nutzerprofilen und Forumsbeiträgen bedeutet nicht, dass Ihr System kompromittiert wurde.
- Nutzen Sie den Spam-Bericht (Zugriff über Einstellungen > Website-Administration > Berichte > Spam-Suche in regelmäßigen Abständen.
Prävention
- Halten Sie Ihre Moodle-Installation aktuell: Aktualisieren Sie Ihr System in regelmäßigen Abständen auf die neueste stabile Release Ihrer aktuellen Version.
- Generieren Sie in regelmäßigen Abständen einen Sicherheitsbericht (Zugriff über Einstellungen > Website-Administration > Berichte > Sicherheitsbericht).
Siehe auch
Diskussionsbeiträge im Kurs Using Moodle auf moodle.org: