"Malware-Infizierung erkannt" – eine Mail von Google mit diesem oder ähnlichem Inhalt treibt den meisten Webmastern die Schweißperlen auf die Stirn. Zu Recht – denn jeder Besucher einer manipulierten Website kann durch Malware geschädigt werden. Bei kommerziellen Sites drohen zudem finanzielle Einbußen und ein Imageschaden. Wenn die eigene Website gehackt ist, sollte man schnell handeln. In folgendem Artikel erkläre ich, was in dem Fall zu tun ist:
So erkennt man, dass eine Website manipuliert wurde
Hosting Provider oder eine Suchmaschine benachrichtigen üblicherweise den Webmaster, sobald erkannt wurde, dass eine Website manipuliert worden ist.
Google kennzeichnet infizierte Websites zudem in den Suchergebnissen, um Nutzer zu warnen: Unter der Domain steht "Diese Website kann Ihren Computer beschädigen" wenn Malware gefunden wurde. Hat der Angreifer die Website manipuliert, um Spam zu hosten, erscheint die Meldung "Diese Website wurde möglicherweise gehackt".
Doch es gibt noch weitere Merkmale:
- Es tauchen plötzlich dubiose Suchergebnisse in den Suchmaschinen für die betroffene Website auf wie z. B. Werbung für fragwürdige Websites
- Besucher erhalten eine Warnung von Ihrem Antiviren-Programm, wenn sie die Website aufrufen
- Einzelne Unterseiten werden auf eine fremde Domain umgeleitet
- Im Backend des CMS-Systems gibt es unbekannte Benutzer oder Benutzerrechte und Dateien wurden verändert
Schritt 1: Website sofort offline nehmen
Wurde die Website tatsächlich gehackt, ist es wichtig, dass sie sofort deaktiviert wird. Nur so kann verhindert werden, dass der Hacker noch mehr Schaden anrichtet.
Wenn Schadsoftware installiert wurde, kann es passieren, dass auch die Computer der Websitebesucher infiziert werden. Cyberkriminelle schleusen so Programme ein, die auf dem PC gespeicherten Zugangsdaten ausspähen. So verschaffen sie sich Zugang zum Konto des Opfers um an dessen Geld zu gelangen.
Schritt 2: Alle Passwörter, die die Website betreffen, ändern
Dann sind neue, sichere Passwörter für den FTP-Zugang und sämtliche Benutzerkonten des Content-Management-Systems usw. anzulegen. Alle Accounts, die die Website betreffen, sollten ein neues Passwort erhalten.
Schritt 3: Webhosting-Anbieter kontaktieren
Es ist hilfreich, sich an den Webhosting-Anbieter zu wenden, um weitere Informationen zu erhalten. Vielleicht ist dort das Problem schon bekannt und es wird bereits daran gearbeitet. Oft handelt es sich bei Hackerangriffen um groß angelegte Aktionen und viele Websites sind betroffen.
Schritt 4: Den Schaden ermitteln
Jetzt gilt es, herauszufinden, was genau passiert ist. Google bietet hierfür die SafeBrowsing-Diagnoseseite https://www.google.com/transparencyreport/safebrowsing/diagnostic/index.html an. Nachdem man die eigene Domain eingetragen hat, kann man die Seite prüfen lassen.
In der Google Search Console sind meist Informationen über vorhandene Malware zu finden (Menüpunkt Sicherheitsprobleme). Anti-Viren-Scanner können auch wertvolle Informationen bieten. Oftmals sperren die Hosting-Provider verdächtige Dateien, das macht die Identifizierung einfacher.
Es lohnt sich auch, einen Blick in die Serverprotokolle zu werfen. Evtl. finden sich hier verdächtige Einträge, wie fehlgeschlagene Anmeldeversuche o. ä. Bösartige Veränderungen könnten auch in der .htaccess-Datei zu finden sein. Hier schleusen Angreifer gerne Umleitungen auf andere Domains ein.
Schritt 5: Den Schadcode entfernen
Nachdem der schadhafte Code identifiziert wurde, muss dieser vollständig entfernt werden. Hier ist es gut, wenn man eine möglichst aktuelle Sicherungskopie zum Vergleich hat. Doch gerade bei großen Websites kann es sehr mühsam sein, das manuell zu machen. Hier bietet es sich an, die gesamte Website zu entfernen und die letzte (nicht infizierte) Sicherungskopie einzuspielen.
Schritt 6: Bereinigung an Google melden
Der schwierigste Teil ist geschafft. Nun kann in der Google Search Console ein Antrag auf erneute Überprüfung der Website gestellt werden. Daraufhin prüft Google die Website erneut. Wenn festgestellt wird, dass die Website nicht mehr infiziert ist, wird die Warnmeldung in den Suchergebnissen entfernt.
Je nach Art des Angriffs und Größe der Website kann es unterschiedlich lange dauern, bis die Website wieder freigegeben wird. Bei Malware dauert es etwa einen Tag. Wurde die Website mit Spam infiziert, kann es ein paar Wochen dauern, da in diesem Fall eine umfangreichere Prüfung nötig ist.
Vorsicht ist besser als Nachsicht
Es kostet viel Zeit und Ärger, eine gehackte Website wieder zu bereinigen. Daher folgen hier fünf Tipps, um die Wahrscheinlichkeit eines Hackerangriffs zumindest zu verringern:
- Sichere Passwörter wählen und diese regelmäßig ändern
- Die Benutzernamen "admin" oder "administrator" bei CMS-Systemen vermeiden
- Das CMS-System und die dazugehörigen Templates und Erweiterungen aktuell halten
- Nur wirklich nötige Plugins installieren, denn je mehr Code die Website hat, desto mehr Sicherheitslücken können entstehen
- Ungenutzte Templates und Erweiterungen deinstallieren
Fazit
Gerade auf beliebte Content-Management-Systeme wie z. B. WordPress oder Joomla! haben es Hacker abgesehen. Dauerhaft sicher vor einem Angriff sind solche Systeme nie, da die Angreifer ihre Methoden ständig anpassen und nach Sicherheitslücken suchen. Diese können auch in gepflegten Systemen auftreten, oder auch beim eigenen Provider.
Man kann nur versuchen, Sicherheitslücken zu vermeiden. Zudem sollte man regelmäßig Datensicherungen anfertigen, um im Ernstfall nicht zu viele Daten zu verlieren. Sollte es die eigene Website doch einmal erwischen, kann man durch richtiges und schnelles Handeln größeren Schaden abwenden.
Google stellt für diesen Fall umfangreiche Hilfeseiten bereit: Hilfe für Webmaster bei gehackten Websites https://www.google.com/webmasters/hacked/