Dienstag, 8. April 2008
Ok, ihr seid also gehackt worden. Das passiert vielen Webmastern trotz der harten Arbeit, die ihr investiert, um genau dies zu vermeiden. Tipps zum Schutz davor sind unter anderem, eure Site immer mit der neuesten Software und Patches aufzurüsten, ein Konto in den Google
Webmaster-Tools
anzulegen, um zu sehen, was indexiert wird, ein Auge auf die Logfiles zu haben, um sicherzustellen, dass nichts Verdächtiges vor sich geht, usw. (Mehr Informationen dazu gibt es in der
Sicherheits-Checkliste
, die wir letztes Jahr veröffentlicht haben.)
Denkt daran, dass ihr nicht allein seid - gehackte Sites werden zunehmend häufiger. Wenn ihr gehackt seid, kann es sein, dass eure Site mit Badware (genauer gesagt Malware, einem Typ von Badware) infiziert ist. Werft einen Blick auf den Bericht über Trends in Badware 2007 , der von StopBadware kürzlich veröffentlicht wurde, um einen ausführlichen Überblick über Trends und Bedrohungen durch Badware im vergangenen Jahr zu bekommen. Lest auch diesen Post auf dem Google Online Security Blog , der auf den Anstieg von Suchergebnissen hinweist, die eine als schädlich gekennzeichnete URL enthalten. Einen noch ausführlicheren Fachbericht über eine Analyse webbasierter Malware findet ihr auf The Ghost in the Browser (pdf) und in diesem Fachbericht (pdf) über Drive-by-Downloads. Diese Berichte können euch ein besseres Verständnis für das Problem verschaffen. Sie beinhalten auch einige tatsächliche Beispiele für die verschiedenen Malware-Typen.
Als ersten Schritt solltet ihr auf jeden Fall euren Hostingprovider kontaktieren, sofern ihr einen habt. Meistens können sie den größten und komplizierteren Teil auf der technischen Seite für euch erledigen. Viele Webmaster verwenden Shared Hosting, was es erschweren kann, einige der unten gelisteten Tipps zu befolgen. Manche Tipps, die mit einem Asterisk (*) gekennzeichnet sind, sind Fälle, in denen Webmaster, die Shared Hosting verwenden, höchstwahrscheinlich Unterstützung von ihrem Hostingprovider brauchen. Für den Fall, dass ihr euren Server vollständig selbst verwaltet, empfehlen wir diese vier Grundschritte:
Nehmt eure Site offline
F: Um zu verhindern, dass meine Site gecrawlt wird - Ist es besser, meine Site offline zu nehmen oder die "robots.txt"-Datei zu verwenden?
A: Es ist besser, die Site offline zu nehmen; dadurch wird verhindert, dass jegliche Art von Malware oder Badware den Usern präsentiert wird, und Hacker werden von weiterem Missbrauch des Systems abgehalten.
F: Wenn ich meine Site von dem gehackten Content befreit habe - was ist der schnellste Weg, um wieder gecrawlt zu werden?
A: Unabhängig davon, ob eure Site gehackt wurde oder nicht - der schnellste Weg, wieder gecrawlt zu werden, ist den Richtlinien in der Hilfe für Webmaster zu folgen.
F: Ich habe meine Site wieder in Ordnung gebracht - wird Google mich dennoch mit einer Abwertung versehen, falls mich der Hacker mit einer Bad Neighbourhood verlinkt hat?
A: Wir tun unser Bestes, dass dies nicht passiert. Wir sind überaus gut darin sicherzustellen, dass gute Sites aufgrund von Aktionen von Hackern und Spammern nicht mit einer Abwertung versehen werden . Um sicher zu sein, solltet ihr jegliche Links entfernen, welche von den Hackern hinzugefügt wurden.
F: Was, wenn mein persönlicher Rechner betroffen ist?
A: Alles oben bereits Erwähnte trifft auch in diesem Fall zu. Ihr solltet in jedem Fall besonders gründlich vorgehen; falls ihr dies nicht tut, ist es wahrscheinlich, dass dasselbe noch einmal passiert. Eine komplette Neuinstallierung des Betriebssystems ist ideal.
Zusätzliche Quellen, die ihr vielleicht hilfreich findet:
My site's been hacked - now what? (English version)
Post von Nathan Johns, Search Quality Team (Übersetzung von Claudia)
Denkt daran, dass ihr nicht allein seid - gehackte Sites werden zunehmend häufiger. Wenn ihr gehackt seid, kann es sein, dass eure Site mit Badware (genauer gesagt Malware, einem Typ von Badware) infiziert ist. Werft einen Blick auf den Bericht über Trends in Badware 2007 , der von StopBadware kürzlich veröffentlicht wurde, um einen ausführlichen Überblick über Trends und Bedrohungen durch Badware im vergangenen Jahr zu bekommen. Lest auch diesen Post auf dem Google Online Security Blog , der auf den Anstieg von Suchergebnissen hinweist, die eine als schädlich gekennzeichnete URL enthalten. Einen noch ausführlicheren Fachbericht über eine Analyse webbasierter Malware findet ihr auf The Ghost in the Browser (pdf) und in diesem Fachbericht (pdf) über Drive-by-Downloads. Diese Berichte können euch ein besseres Verständnis für das Problem verschaffen. Sie beinhalten auch einige tatsächliche Beispiele für die verschiedenen Malware-Typen.
Als ersten Schritt solltet ihr auf jeden Fall euren Hostingprovider kontaktieren, sofern ihr einen habt. Meistens können sie den größten und komplizierteren Teil auf der technischen Seite für euch erledigen. Viele Webmaster verwenden Shared Hosting, was es erschweren kann, einige der unten gelisteten Tipps zu befolgen. Manche Tipps, die mit einem Asterisk (*) gekennzeichnet sind, sind Fälle, in denen Webmaster, die Shared Hosting verwenden, höchstwahrscheinlich Unterstützung von ihrem Hostingprovider brauchen. Für den Fall, dass ihr euren Server vollständig selbst verwaltet, empfehlen wir diese vier Grundschritte:
Nehmt eure Site offline
- Nehmt eure Site vorübergehend offline, zumindest solange bis ihr wisst, dass das Problem gelöst ist. *
- Wenn ihr die Site nicht offline nehmen könnt, dann gebt einen 503 Statuscode aus, damit sie nicht gecrawlt wird.
-
Verwendet das
Tool zum Entfernen von URLs
in den Webmaster-Tools, um alle gehackten Seiten oder URLs aus den Suchergebnissen zu entfernen, sofern sie indexiert wurden. Dadurch wird verhindert, dass die gehackten Seiten für User zur Verfügung stehen.
- Es ist eine gute Idee herauszufinden, was die Hacker genau im Sinn hatten.
- Haben sie nach vertraulichen Informationen gesucht?
- Wollten sie sich eurer Site bemächtigen, um sie für andere Zwecke zu missbrauchen?
- Sucht auf eurem Webserver nach veränderten oder zusätzlich hochgeladenen Dateien.
- Überprüft, ob ihr in euren Serverlogfiles verdächtige Aktivitäten entdecken könnt, wie beispielsweise vergebliche Loginversuche, Aktivitäten in der Commandhistory (besonders solche, die als "Root" durchgeführt wurden), unbekannte Nutzerkonten etc.
- Bestimmt das Ausmaß des Problems - habt ihr andere Sites, die vielleicht betroffen sind?
- Die absolut beste Maßnahme ist hier eine komplette Neuinstallierung des Betriebssystems von einer gesicherten Bezugsquelle. Das ist der einzige Weg, um vollständig sicher zu sein, dass ihr alles entfernt, was der Hacker vielleicht angerichtet hat.*
- Nach einer frischen Neuinstallierung solltet ihr das letzte Backup verwenden, um eure Site wieder herzustellen. Vergesst auch nicht sicherzustellen, dass das Backup sauber und frei von gehacktem Content ist.*
- Fügt auch alle Softwarepakete zur letzten Version hinzu. Dies beinhaltet Dinge wie Weblogplattformen, Content-Management-Systeme oder jegliche andere installierte Software von dritter Seite.
- Ändert eure Passwörter - https://www.google.com/accounts/PasswordHelp?hl=de
- Stellt euer System wieder online.
- Wenn ihr ein User der Webmaster-Tools seid, dann loggt euch in euer Konto ein:
- Falls eure Site als eine Site, die Malware verbreitet, identifiziert wurde, stellt einen Antrag auf Überprüfung, um festzustellen, ob eure Site frei von schädlichem Content ist.
- Falls ihr URLs mit dem Tool zum Entfernen von URLs entfernt habt, die ihr eigentlich im Index behalten wollt, beantragt in den Webmaster-Tools, dass euer Content wieder aufgenommen wird.
- Behaltet eure Site weiterhin genauer im Auge, da der Hacker vielleicht zurückkommt.
F: Um zu verhindern, dass meine Site gecrawlt wird - Ist es besser, meine Site offline zu nehmen oder die "robots.txt"-Datei zu verwenden?
A: Es ist besser, die Site offline zu nehmen; dadurch wird verhindert, dass jegliche Art von Malware oder Badware den Usern präsentiert wird, und Hacker werden von weiterem Missbrauch des Systems abgehalten.
F: Wenn ich meine Site von dem gehackten Content befreit habe - was ist der schnellste Weg, um wieder gecrawlt zu werden?
A: Unabhängig davon, ob eure Site gehackt wurde oder nicht - der schnellste Weg, wieder gecrawlt zu werden, ist den Richtlinien in der Hilfe für Webmaster zu folgen.
F: Ich habe meine Site wieder in Ordnung gebracht - wird Google mich dennoch mit einer Abwertung versehen, falls mich der Hacker mit einer Bad Neighbourhood verlinkt hat?
A: Wir tun unser Bestes, dass dies nicht passiert. Wir sind überaus gut darin sicherzustellen, dass gute Sites aufgrund von Aktionen von Hackern und Spammern nicht mit einer Abwertung versehen werden . Um sicher zu sein, solltet ihr jegliche Links entfernen, welche von den Hackern hinzugefügt wurden.
F: Was, wenn mein persönlicher Rechner betroffen ist?
A: Alles oben bereits Erwähnte trifft auch in diesem Fall zu. Ihr solltet in jedem Fall besonders gründlich vorgehen; falls ihr dies nicht tut, ist es wahrscheinlich, dass dasselbe noch einmal passiert. Eine komplette Neuinstallierung des Betriebssystems ist ideal.
Zusätzliche Quellen, die ihr vielleicht hilfreich findet:
- Falls eure Site von Google als "Malware verbreitende Site" gekennzeichnet wurde, werden wir euch benachrichtigen, wenn ihr die Webmaster-Tools besucht.
- Vergesst auch das Google Diskussionsforum für Webmaster nicht - dort trefft ihr auf äußerst erfahrene User und Googler. Ein schönes Beispiel dafür ist dieser Thread in unserer englischen Diskussionsgruppe für Webmaster. Zudem gibt es auch eine Diskussionsgruppe von Stop Badware .
- Matt Cutts veröffentlichte kürzlich "Three tips to protect your WordPress installation" auf seinem Blog, und unter dem Post gibt es zahlreiche gute Kommentare.
My site's been hacked - now what? (English version)
Post von Nathan Johns, Search Quality Team (Übersetzung von Claudia)