Website gehacked? So werden sie wieder sichtbar

Lesezeit: 4 Minuten

Gerade über den Zeitraum einer längeren Ferienzeit werden Internetseiten gerne gehacked oder aber für die Verbreitung von Viren und Spam “freigeschaltet” mit der Absicht, die übernommene Website möglichst lange nutzen zu können (z.B. Weihnachtszeit: Hier wird oft erst nach dem 7. Januar bemerkt, dass eine Website bereits vor Heiligabend übernommen wurde, siehe auch diesen Artikel über Website-Hacking).

 

Wie weiß man, ob eine Website gehackt wurde?

Wenn im Zusammenhang mit der Website einer dieser Punkte auffällt, ist die Wahrscheinlichkeit, dass die Unternehmensseite gehackt wurde, sehr hoch.

Ihre Website wurde gehackt, Quelle Google

Ihre Website wurde gehackt. Quelle Google: http://www.google.com/webmasters/hacked/

Meist kann man selbst nicht erkennen, dass die Website von Cyber-Kriminellen manipuliert wurde, doch jeder, der die betreffende Website besucht, kann infiziert und geschädigt werden. Wenn ein Hacker eine solche Seite infiziert hat, kann diese zur Versendung von Spam genutzt werden. “Wenn Hacker beispielsweise eine Website mit Schadcode infiziert haben, der Tastenanschläge auf den Computern der Website-Besucher aufzeichnen kann, und der Website-Inhaber hat diese Aktion nicht bemerkt, können die Hacker Anmeldedaten für Online-Banking oder finanzielle Transaktionen stehlen.” (Quelle: Google)

Was soll man tun, wenn eine Seite gehackt wurde?

Zunächst gilt es herauszufinden, wie und warum die Website gehackt wurde.  Das ist ausschlaggebend, um herauszufinden, wie die Vorgehensweise zur Wiederherstellung der Website und Entfernung der Warnung für die Nutzer in Google & Co beseitigt werden kann.

Wie umfangreich die Wiederherstellungszeit ist, hängt vom Ausmaß des Schadens ab. Viele Hoster bieten einen Backup-Service an. Möglicherweise gilt dieser Punkt als erster Ansatz für die Wiederherstellung.

Website offline nehmen und Hoster kontaktieren

Nehmen Sie Website vom Netz (temporarily offline) mit einem entsprechenden Hinweis. Dies kann z.B. der Maintenance-Modus des CMS sein oder – besser noch – eine Manuell erstellte Warnung. Sämtliche Verbindungen zum verseuchten Inhalt sollte unterbunden werden. Informieren Sie dann unbedingt Ihren Hoster, damit dieser geeignete Maßnahmen ergreifen kann.

Identifizieren der Schwachstelle

Grundsätzlich ist es wichtig, festzustellen, wie und wo der Hacker die Seite infizieren konnte. Hat der Hacker die FTP-Daten? Nutzte er eine Schwachstelle, weil das Unternehmen eine mega-veraltete Version des CMS benutzt? Aus der Analyse dieses Punktes ergibt sich der Plan zur Wiederherstellung.

Möglicherweise haben Sie aber auch eine Warnmeldung in Google Webmaster Tools erhalten, dann sind dort oft die betroffenen Bereiche bereits identifiziert.

Prüfen, ob es unverseuchte Backups gibt

Gibt es Datensicherungen? Sind diese Virenfrei bzw. bei welchem Stand kann “sicher” gesagt werden, dass es sich um einen schadfreien Stand der Website handelt?

Achtung! Es ist notwendig sowohl die Dateien, als auch die Datenbank zu prüfen. Möglicherweise wurde schadhafter Code in die Datenbank injiziert. Das ist sehr aufwändig, aber unbedingt notwendig, um Schwachstellen zu beseitigen.

Lesen Sie auch  Data Driven Business 2019

Viren- oder Trojaner-Befall der eigenen Systeme beseitigen

Scannen Sie alle in Frage kommenden Systeme mit einem neuen, bislang noch nicht genutzten Anti-Virus-Software-Produkt. Ihre bisherige Antivirus-Software konnte nicht warnen, deshalb eine neue Software. Ein Scan sollte auf allen Systemen durchgeführt werden. Besonders die Systeme mit Online-Zugang, Banking, Bedienungsterminals für die Website und so weiter, sollten ganz besonders berücksichtigt werden.

Prüfung wie Google

Die www-Version der Website und die nicht-www-Version der Website sollte überprüft werden. Während http://domain.de und http://www.domain.de so scheinen, als wären es die selben Seiten, unterscheidet Google hier zwischen der “Root-Domain” (http://domain.de) und der “Subdomain” (http://www.domain.de).
Eine Überprüfung der Seite, so wie sie durch Google gescannt wird, ist notwendig. Das geht über die Webmaster-Tools (fetch as Google-Tool).

Mit dieser Maßnahme kann der “Aufenthaltsort” des schadhaften Codes auf der Website gefunden werden.

Meist nutzen Hacker die .htaccess Datei, um Besucher von Suchmaschinen kommend, auf bestimmte Inhalte zu lenken. Auffällig könnte der folgende Code in einer .htaccess-Datei sein (Quelle: Beispiele von gehackten Seiten in Google Webmasterblog):

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [OR]
RewriteCond %{HTTP_REFERER} (google|yahoo|msn|aol|bing)
RewriteRule ^([^/]*)/$ /main.php?p=$1 [L]
</IfModule>

Änderung aller Passworte

Alle Zugriffe zur Website sollten verändert werden, ebenso Ihre Zugänge zu allen sonstigen Produkten, wie Banking, Social Media-Sites (Facebook, Twitter, Google) und alle wichtigen internen Passwörter. Änderung Sie auch die Zugriffscodes auf Hardware, wie z.B. interne Rooter oder Proxy-Server.

Entfernung des schadhaften Codes

Gibt es kein Backup, das eingespielt werden kann, muss der schadhafte Code manuell entfernt werden.

Jetzt sollte das Content Management System auf die neueste Version upgedated werden und die Schwachstellen, die dem Hacker Angriffsmöglichkeiten geboten haben, beseitigt werden. Zukünftig MUSS die Website gepflegt und gewartet werden. Meist benötigt es bei vielen Unternehmen genau einen solchen Vorfall, bevor tatsächlich die Notwendigkeit für solche Maßnahmen Geld auszugeben, erkannt wird.

Lesen Sie auch  SMX München 2020

Website zur Überprüfung an Google melden

Wenn Sie eine Benachrichtigung in den Webmaster Tools erhalten haben, kann jetzt über diese eine Prüfung der Website beantragt werden. In der Regel geschieht dies innerhalb weniger Stunden und dann erhalten Sie eine entsprechende Bestätigung von Google.

Phisihing-Prüfungstool

Es ist auch möglich, das entsprechende Tool von Google zu verwenden, mit dem ein Bericht erstellt wird, dass die Webseite wieder sicher besucht werden kann. https://www.google.com/safebrowsing/report_error/

 

Sicherheitsmaßnahmen für die Zukunft

Um künftige Infizierungen vermeiden zu können, sollte entsprechende Maßnahmen getroffen werden.

  • Vermeiden Sie das FTP-Protokoll. Bei diesem wird weder das Passwort verschlüsselt, noch der übertragene Inhalt. Verwenden Sie stattdessen das SFTP-Protokoll.
  • Prüfen Sie die Berechtigungen bei wichtigen Dateien, wie z.B. .htaccess, config.php und anderen. Solche Dateien können immer Anlaufstelle sein für neue Hacks, wenn diese Dateien lesbar oder schreibbar sind.
  • Überprüfen Sie regelmäßig die Benutzer der Administrativen Oberfläche nach seltsamen (oder neuen) Benutzern, die ggf. Ihre Website modifizieren könnten.
  • Gewöhnen Sie sich an den Gedanken, dass eine regelmäßige Pflege Ihrer Website zwar Geld kostet, aber dringend notwendig ist, wie die Hauptuntersuchung Ihres Autos. Nach diesem Vorfall sollten Sie gelernt haben, dass es wesentlich teurer ist, eine gehackte Website wieder zum Laufen zu bringen, ganz geschweige vom Reputationsverlust und den entgangenen Geschäften.

 

Was tun, wenn trotz Bestätigung der Beseitigung schadhaften Codes noch immer in den Suchergebnissen auf eine infizierte Website hingewiesen wird?

Auch Google macht Fehler und hat das sogar selbst festgestellt. John Mueller (Google) schreibt auf seiner Google+ Website, dass es verschiedentlich zu Falschklassifizierungen von Webseiten gekommen ist. (Quelle: Website gehackt? Dokument von Google)

In einem solchen Fall kann über ein Antrag direkt bei Google die Beseitigung dieser Falschklassifizierung beantragt werden. Das entsprechende Dokument findet sich hier: https://docs.google.com/forms/d/11ja4RG490nWbbcHdn-g22l5kBsrRJjn3mbHzjcnHcYY/viewform

 

Anlaufstellen für Hilfe:

 

(Beitragsbild ist eine Montage aus einem Bild von Schorndorf und dem Raumschiff aus ID4, Bildrechte am Raumschiff bei Centropolis Entertainment)