Webmaster-Zentrale Blog
Offizielle Informationen zum Crawling und zur Indexierung von Webseiten und News für Webmaster
Zwei Fallstudien zur Bereinigung von gehackten Websites
Montag, 23. März 2015
Tag für Tag werden Tausende von Websites gehackt. Gehackte Websites können Nutzern Schaden zufügen, indem sie beispielsweise Schadsoftware verbreiten, personenbezogene Daten sammeln oder die Nutzer ohne deren Wissen auf andere Websites weiterleiten. Daher möchten Webmaster gehackte Websites auch schnell bereinigen, doch kann die Beseitigung der durch einen Hack verursachten Schäden ein komplizierter Prozess sein.
Wir versuchen, Webmastern die Wiederherstellung nach einem Hack mit Funktionen wie
Sicherheitsprobleme
, der
Hilfe für Webmaster bei gehackten Websites
und
einem Bereich in unserem Forum nur für gehackte Websites
zu erleichtern. Vor Kurzem sprachen wir mit zwei Webmastern, deren Websites gehackt wurden, um mehr darüber zu erfahren, wie sie ihre Websites bereinigen konnten. Wir stellen ihre Geschichten hier in der Hoffnung vor, dass sie anderen Webmastern, die Hackerangriffen zum Opfer gefallen sind, einige hilfreiche Anstöße geben können. Außerdem möchten wir mit diesen Geschichten und weiterem Feedback unsere Dokumentation für gehackte Websites verbessern, um deren Bereinigung künftig für alle einfacher zu gestalten.
Fallstudie 1: Website eines Restaurants mit mehreren bei Hacks injizierten Skripts
Für eine mit WordPress erstellte Restaurantwebsite ging im Webmaster-Tools-Konto des Restaurants eine Nachricht von Google mit der Warnung ein, dass die Website von Hackern verändert wurde. Zum Schutz von Google-Nutzern wurde die Website in den Suchergebnissen von Google als gehackt gekennzeichnet. Sam, die Webmasterin der Website, sah sich den Quellcode an und bemerkte auf der Website zahlreiche ungewöhnliche Links mit pharmazeutischen Begriffen wie "Viagra" und "Cialis". Ihr fielen zudem viele Seiten auf, auf denen die Meta-Beschreibungstags im HTML-Code zusätzliche Inhalte wie "Valtrex in Florida kaufen" aufwiesen. Außerdem enthielten viele Seiten – ebenfalls im HTML-Code – versteckte div-Tags mit Verlinkungen zu zahlreichen Websites. Keinen dieser Links hatte Sam hinzugefügt.
Sam entfernte sämtliche gehackten Inhalte, die sie fand, und reichte danach einen Antrag auf erneute Überprüfung ein. Der Antrag wurde zwar abgelehnt, aber in der Nachricht, die sie von Google erhielt, wurde ihr geraten, nach unbekannten Skripts in den PHP-Dateien bzw. anderen Serverdateien sowie nach Änderungen an der
".htaccess"-Datei
zu suchen. Diese Dateien enthalten oftmals von Hackern hinzugefügte Skripts zur Veränderung der Website. Bei diesen Skripts sind die gehackten Inhalte in der Regel nur für Suchmaschinen erkennbar. Für normale Nutzer hingegen bleiben sie verborgen. Sam prüfte alle PHP-Dateien und verglich sie mit den unkompromittierten Kopien in ihrer Sicherung. Datei stellte sie fest, dass den Dateien "footer.php", "index.php" und "functions.php" neue Inhalte hinzugefügt worden waren. Nachdem sie diese Dateien durch die sauberen Sicherungen ersetzt hatte, konnte sie auf ihrer Website keine gehackten Inhalte mehr finden. Sie stellte daraufhin einen weiteren Antrag auf erneute Überprüfung und erhielt von Google tatsächlich die Antwort, dass die Website frei von gehackten Inhalten war.
Doch obwohl Sam die gehackten Inhalte auf ihrer Website bereinigt hatte, wusste sie, dass sie die
Website weiterhin gegen künftige Angriffe sichern
musste. Sie folgte diesen Schritten, um auch in Zukunft die Sicherheit ihrer Website zu gewährleisten:
Das CMS (Content-Management-System), z. B. WordPress, Joomla oder Drupal, mit der jeweils neuesten Version auf dem aktuellen Stand halten und sicherstellen, dass auch die Plug-ins aktuell sind
Darauf achten, dass für das Konto, über das auf die administrativen Funktionen des CMS zugegriffen wird, ein schwer zu erratendes und einzigartiges Passwort verwendet wird
Für die Anmeldung die
Bestätigung in zwei Schritten
aktivieren, falls das CMS dies unterstützt. Dieser Vorgang wird auch Zwei-Faktor-Authentifizierung oder Authentifizierung in zwei Schritten genannt. Dasselbe Verfahren wird auch für das Konto empfohlen, das für die Passwortwiederherstellung verwendet wird. Die meisten E-Mail-Anbieter wie
Google
,
Microsoft
oder
Yahoo
unterstützen dieses Verfahren.
Sicherstellen, dass die installierten Plug-ins und Designs von einer vertrauenswürdigen Quelle stammen – raubkopierte Plug-ins oder Designs enthalten oft Code, der Hackern das Eindringen noch leichter macht!
Fallstudie 2: Professionelle Website mit vielen schwer zu findenden gehackten Seiten
Die Inhaberin eines kleinen Geschäfts, Maria, die auch ihre eigene Website verwaltet, erhielt in ihren Webmaster-Tools eine Nachricht, dass ihre Website gehackt wurde. Die Nachricht enthielt ein Beispiel einer von Hackern hinzugefügten Seite:
http://example.com/where-to-buy-cialis-over-the-counter/
. Sie sprach mit ihrem Hostanbieter, der sich den Quellcode auf der Homepage ansah, aber keine pharmazeutischen Keywords finden konnte. Als ihr Hostanbieter die Website unter
http://example.com/where-to-buy-cialis-over-the-counter/
aufrief, wurde eine Fehlerseite zurückgegeben. Maria erwarb zudem einen Malware-Scandienst, der auf ihrer Website jedoch keine schädlichen Inhalte ermitteln konnte.
Daraufhin rief Maria die Webmaster-Tools auf und wandte das Tool "Abruf wie durch Google" auf die von Google bereitgestellte Beispiel-URL
http://example.com/where-to-buy-cialis-over-the-counter/
an. Es wurden keine Inhalte zurückgegeben. Verwirrt stellte sie einen Antrag auf erneute Überprüfung und erhielt eine Ablehnung. Darin wurde ihr geraten, zwei Dinge zu tun:
Die Version ihrer Website ohne "www" zu prüfen, weil Hacker häufig versuchen, Inhalte in Ordnern zu verbergen, die vom Webmaster möglicherweise übersehen werden
Auch wenn es so scheint, dass hinter
http://example.com
und
http://www.example.com
dieselbe Website steht, behandelt Google sie als verschiedene Websites.
http://example.com
wird als "Root-Domain" bezeichnet,
http://www.example.com
hingegen als Subdomain. Maria hatte
http://www.example.com
, jedoch nicht
http://example.com
überprüft. Das ist wichtig, weil es sich bei den von Hackern hinzugefügten Seiten um Seiten ohne "www" wie
http://example.com/where-to-buy-cialis-over-the-counter/
handelte. Nachdem sie
http://example.com
überprüft hatte, konnte sie die gehackten Inhalte in den Webmaster-Tools unter der bereitgestellten URL mit "Abruf wie durch Google" sehen.
Die ".htaccess"-Datei auf neue Regeln zu prüfen
Maria sprach mit ihrem Hostanbieter, der ihr zeigte, wie sie auf die ".htaccess"-Datei zugreifen konnte. Sie bemerkte sofort, dass die ".htaccess"-Datei seltsame Inhalte aufwies, die sie nicht hinzugefügt hatte:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [OR]
RewriteCond %{HTTP_REFERER} (google|yahoo|msn|aol|bing)
RewriteRule ^([^/]*)/$ /main.php?p=$1 [L]
</IfModule>
Der Hacker hatte die
mod_rewrite-Regel
eingefügt, die ihr oben seht. Durch sie werden alle Nutzer, die über bestimmte Suchmaschinen und Suchmaschinen-Crawler auf die Website gelangen, an die Datei "main.php" weitergeleitet, von der sämtliche gehackten Inhalte generiert werden. Solche Regeln können auch Nutzer weiterleiten, die die Website auf einem Mobilgerät aufrufen. Am selben Tag konnte sie dann auch beobachten, dass bei einem neuen Malware-Scan verdächtige Inhalte in der Datei "main.php" gefunden wurden. Noch dazu bemerkte sie im FTP-Nutzerbereich ihrer Website-Entwicklungssoftware einen unbekannten Nutzer.
Sie entfernte die Datei "main.php", die ".htaccess"-Datei und den unbekannten Nutzer aus dem FTP-Nutzerbereich – und schon war ihre Website nicht mehr gehackt.
Schritte zur Vermeidung künftiger Hacks
Verwendet möglichst kein FTP für die Übertragung von Dateien auf eure Server. FTP verschlüsselt Traffic nicht, also auch keine Passwörter. Verwendet stattdessen SFTP, denn zum Schutz gegen Eindringlinge, die den Netzwerk-Traffic ausspähen, verschlüsselt SFTP alles, einschließlich eures Passworts.
Prüft die Berechtigungen für sensible Dateien wie ".htaccess"-Dateien. Bei Bedarf kann euch eventuell euer Hostanbieter helfen. Mit der ".htaccess"-Datei könnt ihr eure Website verbessern und schützen, doch sie kann auch für bösartige Hacks genutzt werden, wenn es jemandem gelingt, auf sie zuzugreifen.
Seid wachsam und achtet auf neue und unbekannte Nutzer im Administrationsbereich oder an anderen Orten, an denen sich möglicherweise Nutzer befinden, die eure Website manipulieren können.
Wir hoffen, dass eure Website niemals gehackt wird. Falls doch, haben wir in unserer
Hilfe für Webmaster bei gehackten Websites
zahlreiche Ressourcen für gehackte Webmaster zusammengestellt. Wenn ihr weitere Hilfe benötigt oder eure eigenen Tipps teilen möchtet, könnt ihr in unserem
Forum für Webmaster
posten. Falls ihr im Forum Beiträge postet oder für eure Website einen Antrag auf erneute Überprüfung einreicht, gebt darin bitte das
#NoHacked
-Tag an.
Post von Julian Prentice und Yuan Niu, Search Quality Team
(Veröffentlicht von
Johannes Mehlem
, Search Quality Team)
Keine Kommentare :
Kommentar veröffentlichen
Labels
Accessibility
Android
api
App-Indexierung
Best Practices
Code
Crawling und Indexierung
Diskussionsforum
Duplicate Content
Einsteiger
Geo-Targeting
Google Analytics
Google Places
Google-Suche
Google+
Hacking
https
JavaScript
Konferenz
Links
Malware
Mobile
Nachrichten-Center
Penalties
Performance
Rich Snippets
Richtlinien für Webmaster
robots.txt
Safe Browsing
Search Console
Sicherheit
Site Clinic
Sitemaps
Spam Report
Structured Data
Tools und Gadgets
Video
Webmaster-Academy
Webmaster-Tools
Archiv
2016
Januar
2015
Dezember
November
Oktober
September
August
Juli
Mai
April
März
Zwei Fallstudien zur Bereinigung von gehackten Web...
Einfachere Website-Entwicklung mit "Web Components...
Schnelleres Ausfüllen von Onlineformularen
Aktualisierung der Qualitätsrichtlinien für Brücke...
Ressourcenblockierungen mit den Webmaster-Tools au...
Februar
Januar
2014
November
Oktober
September
August
Juni
Mai
April
März
Februar
Januar
2013
Dezember
November
Oktober
August
Juli
Juni
Mai
April
März
Februar
Januar
2012
Dezember
November
Oktober
September
August
Juli
Juni
Mai
April
März
Februar
Januar
2011
Dezember
November
Oktober
September
August
Juli
Juni
Mai
April
März
Februar
Januar
2010
Dezember
November
Oktober
September
August
Juli
Juni
Mai
April
März
Februar
Januar
2009
Dezember
November
Oktober
September
August
Juli
Juni
Mai
April
März
Februar
Januar
2008
Dezember
November
Oktober
September
August
Juli
Juni
Mai
April
März
Februar
Januar
2007
Dezember
November
Oktober
September
August
Juli
Juni
Mai
April
März
Feed
Forum für Webmaster
Webmaster-Sprechstunden
Webmaster-Tools-Hilfe
Developers-Site für Webmaster
Keine Kommentare :
Kommentar veröffentlichen