The #ChromeDevSummit site is live, happening Nov 12-13 in San Francisco, CA
Check it out for details and request an invite. We'll be diving deep into modern web tech & looking ahead to the platform's future.

Website bereinigen und instand halten

Sie benötigen Folgendes:

  • Shell-/Terminal-Administratorzugriff auf die Server, das Web, die Datenbank und Dateien Ihres Webservers
  • Kenntnisse der Shell-/Terminal-Befehle
  • Codekenntnisse (z. B. PHP oder JavaScript)
  • Speicherplatz zur Erstellung von Backups Ihrer Website (einschließlich Dateien, Datenbank, Bilder usw.)

Nächste Aktionen:

Wir decken in diesem Schritt mehrere Aktionen ab: 

  • Auffinden zusätzlicher Ressourcen, falls Sie der Meinung sind, der Hacker habe versucht, an personenbezogene Daten von Nutzern wie bei Phishing-Seiten zu gelangen
  • Option zur Verwendung von URLs entfernen in der Search Console, die dazu dient, völlig neue, unerwünschte und für Nutzer sichtbare URLs beschleunigt zu entfernen, die durch den Hacker erstellt wurden und die nicht in den Google-Suchergebnissen erscheinen sollen
  • Option zur Verwendung von Abruf wie durch Google in der Search Console, um die Verarbeitung sauberer Seiten zu beschleunigen, also Seiten, die entweder neu sind oder kürzlich aktualisiert wurden und die in Google-Suchergebnissen angezeigt werden sollen
  • Installation der neuesten und sichersten Version der Software
  • Entfernung unnötiger oder ungenutzter Anwendungen oder Plug-ins, die Ihre Website künftig anfälliger machen könnten
  • Wiederherstellung fehlerfreier Inhalte und Löschen der Inhalte des Hackers
  • Behebung der ursächlichen Sicherheitslücke, die der Hacker ausgenutzt hat
  • Ändern aller Passwörter
  • Planungsschritte, um die Sicherheit Ihrer Website zu erhalten

1. Support-Ressourcen für den Umgang mit dem Verlust von vertraulichen Informationen z.  B. durch Phishing-Seiten

Wenn vertrauliche Nutzerinformationen von Ihrer Website missbraucht wurden, etwa im Rahmen eines Phishing-Angriffs, sollten Sie unternehmerische, regulatorische oder gesetzliche Pflichten prüfen, bevor Sie mit der Bereinigung Ihrer Website oder mit dem Löschen von Dateien beginnen. In Fällen von Phishing finden Sie auf antiphishing.org nützliche Ressourcen, darunter das Dokument zum Thema Was tun, wenn Ihre Website durch Phisher gehackt wurde (auf Englisch).

2. Neue, vom Hacker erstellte URLs zügig entfernen

Wenn der Hacker gänzlich neue, für den Nutzer sichtbare URLs erstellt hat, können Sie diese Seiten mithilfe der Funktion URLs entfernen in der Search Console schneller aus den Google-Suchergebnissen entfernen. Dies ist ein völlig optionaler Schritt. Wenn Sie die Seiten einfach löschen und anschließend den Server so konfigurieren, dass er den Status-Code 404 ausgibt, werden die Seiten im Laufe der Zeit nicht mehr im Google-Index angezeigt.

  • Die Entscheidung, die Funktion "URLs entfernen" zu verwenden, wird vermutlich von der Anzahl der neu erstellten unerwünschten Seiten abhängen, da es möglicherweise zu umständlich ist, zu viele Seiten über diese Funktion zu entfernen. Ein weiterer wichtiger Faktor ist der potenzielle Schaden, den diese Seiten beim Nutzer anrichten könnten. Stellen Sie sicher, dass für Ihre ungewollten/entfernten URLs die Antwort "404 File not Found" konfiguriert wurde, damit die über "URLs entfernen" eingereichten Seiten nicht in den Suchergebnissen erscheinen.
  • Verwenden Sie dieses Tool nicht zur Entfernung von zuvor intakten Seiten, die lediglich durch den Hacker beschädigt wurden, damit diese nach der Bereinigung auch wieder in den Suchergebnissen angezeigt werden. Das Entfernen von URLs dient ausschließlich zur Entfernung von Seiten, die niemals in den Suchergebnissen angezeigt werden sollen.

3. Bearbeitung Ihrer gültigen Seiten durch Google beschleunigen

Sollten Sie über neue oder aktualisierte gültige Seiten verfügen, können Sie die Funktion Abruf wie durch Google in der Search Console verwenden, um diese Seiten dem Google-Index hinzuzufügen. Dies ist völlig optional. Sollten Sie diesen Schritt überspringen, werden Ihre neuen oder veränderten Seiten trotzdem im Laufe der Zeit erfasst und bearbeitet.

4. Bereinigung Ihres Servers bzw. Ihrer Server starten

Es ist nun an der Zeit, die Bereinigung Ihrer Website auf Grundlage der Notizen durchzuführen, die Sie im Rahmen der Schritte Schadensbeurteilung und Sicherheitslücken ermitteln angefertigt haben. Die weitere Vorgehensweise hängt davon ab, welche Art von Sicherung Ihnen zur Verfügung steht:

  • Saubere und aktuelle Sicherung
  • Saubere, aber veraltete Sicherung
  • Keine Sicherung   

Vergewissern Sie sich zuerst, dass die Sicherung erstellt wurde, bevor Ihre Website gehackt wurde.

  • Saubere und aktuelle Sicherung
    1. Stellen Sie Ihre Sicherung wieder her.
    2. Installieren Sie alle verfügbaren Software-Upgrades, -Updates oder -Patches. Sollten Sie die Kontrolle über den Server haben, gilt dies für Betriebssystemsoftware sowie alle Anwendungen wie z. B. Content-Management-Systeme, E-Commerce-Plattformen, Plug-ins, Vorlagen usw.
    3. Außerdem empfiehlt es sich, nicht mehr von Ihrer Website verwendete Software, z. B. Widgets, Plug-ins oder Anwendungen, von Ihrem Server zu löschen.
    4. Beseitigen Sie die Sicherheitslücken.
    5. Stellen Sie sicher, dass alle im Schritt Schadensbeurteilung identifizierten Probleme behoben wurden.
    6. Ändern Sie nochmals alle Kennwörter der zur Website gehörigen Konten, wie z. B. Anmeldungen für den FTP-Zugang, Datenbankzugriff, Systemadministrator- und CMS-Konten. Für Unix-basierte Systeme:
      $passwd admin1
  • Saubere, aber veraltete Sicherung
    1. Erstellen Sie ein Speicherabbild Ihrer aktuellen Website, auch wenn diese immer noch infiziert ist. Diese Kopie ist nur zur Sicherheit. Markieren Sie die Kopie als infiziert, um sie von den anderen zu unterscheiden. Auf einem Unix-basierten System können Sie folgendermaßen ein Speicherabbild erstellen:
      $dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9
        > /mirror/full-backup-20120125-infected.gz
    2. Erstellen Sie eine Sicherung der Kopie des Dateisystems Ihres Servers, inklusive Bildern und Mediendateien. Auch eine vorhandene Datenbank sollte gesichert werden.
      $tar -pczf full-backup-20120125-infected.tar.gz www/ $ mysqldump -u root
        -p --all-databases | gzip -9 > fulldb_backup-20120125-infected.sql
    3. Stellen Sie die saubere, aber veraltete Sicherung auf Ihrem Server wieder her.
    4. Außerdem empfiehlt es sich, nicht mehr von Ihrer Website verwendete Software, z. B. Widgets, Plug-ins oder Anwendungen, von Ihrem Server zu löschen.
    5. Sollten Sie die Kontrolle über den Server haben, aktualisieren Sie die gesamte Software, einschließlich des Betriebssystems und aller Anwendungen wie z. B. Content-Management-Systeme, E-Commerce-Plattformen, Plug-ins und Vorlagen. Installieren Sie verfügbare Sicherheitsupdates und -patches.
    6. Beseitigen Sie die Sicherheitslücken.
    7. Führen Sie eine manuelle oder automatische Website-diff durch. Verwenden Sie hierzu die saubere Sicherung und die aktuelle infizierte Kopie.
      $diff -qr www/ backups/full-backup-20120124/
    8. Anschließend können Sie beliebige saubere Inhalte, die Sie behalten möchten, von der infizierten Kopie auf den aktualisierten Server hochladen.
      $rsync -avz /backups/full-backup-20120124/www/clean-file.jpg /www/
    9. Überprüfen Sie, ob jede unter Schadensbeurteilung aufgeführte URL korrigiert wurde.
    10. Ändern Sie nochmals alle Passwörter der zur Website gehörigen Konten, wie z. B. Log-ins für FTP- und Datenbankzugriff sowie für Systemadministrator- und CMS-Konten. Für Unix-basierte Systeme:
      $passwd admin1
  • Keine Sicherung verfügbar
    1. Erstellen Sie zwei Sicherungen Ihrer Website, auch wenn diese noch infiziert ist. Eine zweite Sicherung hilft beim Wiederherstellen von versehentlich gelöschten Inhalten und ermöglicht Ihnen, im Falle von Problemen alles rückgängig zu machen und noch einmal von vorne zu beginnen. Beschriften Sie jede Sicherung mit dem Hinweis "infiziert".
      • Eine Ihrer Sicherungen besteht, nach den vorausgegangen Schritten, aus einem Speicherabbild, d.­ h. einer "Klonversion" Ihrer Website. Dieses Format macht das Wiederherstellen von Inhalten noch einfacher. Sie können das Speicherabbild für Notfälle aufbewahren. Auf einem Unix-basierten System können Sie folgendermaßen ein Speicherabbild erstellen:
        $dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 >
          /mirror/full-backup-20120125-infected.gz
      • Die zweite Sicherung besteht aus einer Kopie des Dateisystems Ihres Servers, einschließlich Bildern und Mediendateien. Sollten Sie eine Datenbank verwenden, erstellen Sie ebenfalls eine Sicherung Ihrer Datenbank.
        $tar -pczf full-backup-20120125-infected.tar.gz www/
         
        $mysqldump -u root -p --all-databases | gzip -9 > fulldb_backup-20120125-infected.sql
      • Sollten Sie nicht über ein Speicherabbild verfügen, erstellen Sie jeweils zwei Sicherungen der Datenbank und des Dateisystems.
    2. Bereinigen Sie den Inhalt der Website auf der neu erstellten Kopie des Dateisystems und nicht auf dem Server selbst.
      1. Sollten die Dateizugriffsrechte Ihres vorigen Dateisystems zu schwach eingestellt gewesen sein, korrigieren Sie dies. Nehmen Sie diese Korrekturen in der Sicherungskopie und nicht auf dem Server vor.
      2. Bereinigen Sie ebenfalls die Sicherungskopie der unter Schadensbeurteilung als manipuliert eingestuften URLs. Dies können Konfigurationsdateien des Servers, JavaScript, HTML oder PHP sein.
      3. Entfernen Sie auch neue vom Hacker erstellte Dateien, d. h., richten Sie eine Fehlermeldung 404 ein. Diese Dateien haben Sie möglicherweise bereits mit dem Tool zum Entfernen von URLs in der Search Console übermittelt.
      4. Wenn Ihr Code betroffen ist oder Ihre Passwörter geknackt wurden, beseitigen Sie die entsprechenden Sicherheitslücken. Eingabevalidierungsbibliotheken oder Sicherheitsaudits können hierbei hilfreich sein.
      5. Beginnen Sie mit dem Bereinigen von durch Hacker geänderten Einträgen in Ihren Datenbanken, wenn Ihre Website über solche verfügt. Kurz vor der Fertigstellung sollten Sie eine Plausibilitätsprüfung weiterer Einträge vornehmen, um sicherzugehen, dass alles bereinigt ist.
      6. Ändern Sie nochmals alle Passwörter der zur Website gehörigen Konten, wie z. B. Anmeldedaten für FTP- und Datenbankzugriff sowie für Systemadministrator- und CMS-Konten. Für Unix-basierte Systeme:
        $passwd admin1
      7. An dieser Stelle müsste die ehemals infizierte Sicherungskopie Ihrer Website ausschließlich bereinigte Daten enthalten. Halten Sie die bereinigte Kopie griffbereit und fahren Sie mit Schritt 5 fort.

5. Unnötige Software löschen

Es empfiehlt sich, die nicht mehr von Ihrer Website verwendete Software, wie z. B. Widgets, Plug-ins oder Anwendungen, von Ihrem Server zu löschen. Dies kann die Sicherheit erhöhen und die künftige Wartung vereinfachen.

6. Alle Server bereinigen

  1. Führen Sie eine saubere Installation durch, nicht nur ein Upgrade. Bei Upgrades können Dateien einer früheren Version zurückbleiben. Wenn eine infizierte Datei auf dem Server verbleibt, ist ein weiterer Hackerangriff wahrscheinlicher.
    • Haben Sie die Kontrolle über den Server, sollte die Neuinstallation die gesamte Software umfassen, einschließlich des Betriebssystems und aller Anwendungen, wie z. B. Content-Management-Systeme, E-Commerce-Plattformen, Plug-ins und Vorlagen. Installieren Sie verfügbare Sicherheitsupdates und -patches.
  2. Übertragen Sie saubere Inhalte von der bereinigten Sicherungskopie auf den oder die neu installierten Server. Verwenden Sie beim Hochladen bzw. Wiederherstellen ausschließlich Dateien bzw. Datenbanken, die zweifelsfrei sauber sind. Achten Sie darauf, die entsprechenden Dateiberechtigungen zu erhalten und nicht die frisch installierten Systemdateien zu überschreiben.
  3. Ändern Sie ein letztes Mal alle Passwörter der zur Website gehörigen Konten, wie z. B. Anmeldedaten für FTP- und Datenbankzugriff sowie für Systemadministrator- und CMS-Konten. Für Unix-basierte Systeme:
    $passwd admin1

7. Langfristigen Wartungsplan erstellen

Im Web finden Sie viele informative Ressourcen für die wirksame Wartung einer Website, z. B. Badware verhindern: Grundlagen von StopBadware (auf Englisch). Wir empfehlen Ihnen außerdem dringend, Folgendes zu tun:

  • Erstellen Sie regelmäßige, automatisierte Sicherungen Ihrer Website.
  • Achten Sie darauf, Software auf dem neuesten Stand zu halten.
  • Machen Sie sich mit den Sicherheitsrichtlinien aller Anwendungen, Plug-ins, Software von Drittanbietern usw. vertraut, bevor Sie diese auf dem Server installieren. Eine Sicherheitslücke in einer Softwareanwendung kann sich auf die Sicherheit Ihrer gesamten Website auswirken.
  • Erstellen Sie starke Passwörter.
  • Sorgen Sie für den sicheren Zustand aller am System angemeldeten Geräte (halten Sie Ihr Betriebssystem und Ihren Browser aktuell).

8. Nochmals überprüfen, ob die Bereinigung abgeschlossen ist

Stellen Sie sicher, dass Sie auf die folgenden Fragen mit "Ja" antworten können:

  • Habe ich die richtigen Schritte unternommen, falls die personenbezogenen Daten der Nutzer in die Hände des Hackers gelangt sind? 
  • Läuft auf meiner Website die neueste und sicherste Softwareversion? 
  • Habe ich alle unnötigen oder ungenutzten Anwendungen oder Plug-ins entfernt, die Hackern eine Angriffsfläche bieten könnten? 
  • Habe ich meine Inhalte wiederhergestellt und die Inhalte des Hackers beseitigt? 
  • Habe ich die Grundursache der Sicherheitslücke beseitigt, durch die meine Website gehackt werden konnte? 
  • Habe ich einen Plan, um meine Website auf Dauer abzusichern?

9. Website wieder online stellen

Nächster Schritt

Jetzt haben Sie es fast geschafft. Der letzte Schritt im Verfahren ist: Überprüfung anfordern.