Chrome Dev Summit 2018 is happening now and streaming live on YouTube. Watch now.

Behebung von Keyword- und Link-Hacking durch Cloaking

Dieser Leitfaden enthält Informationen zum Beheben von Keyword- und Link-Hacking durch Cloaking. Er richtet sich zwar speziell an Nutzer von bekannten Content-Management-Systemen (CMS), kann aber auch nützlich sein, wenn Sie kein CMS verwenden.

Hinweis: Sie sind sich nicht sicher, ob Ihre Website gehackt wurde? Dann lesen Sie zuerst den Leitfaden Überprüfen, ob Ihre Website gehackt wurde.

Inhaltsverzeichnis

Art des Hacks identifizieren

Durch diese Art von Keyword- und Link-Hacking wird automatisch eine Vielzahl von Seiten mit sinnlosen Texten, Links und Bildern erstellt. Manchmal enthalten diese Seiten sogar grundlegende Vorlagenelemente der Originalwebsite, sodass die Seiten auf den ersten Blick wie ganz normale Bestandteile Ihrer Website aussehen, bis man den Inhalt liest.

Die gehackten Seiten werden erstellt, um die Rankingfaktoren bei Google zu beeinflussen. Häufig versuchen Hacker daraus Profit zu schlagen, indem sie die Links, die sich auf den gehackten Seiten befinden, an Dritte verkaufen. Außerdem werden Besucher auf den gehackten Seiten oft auf eine völlig andere Seite weitergeleitet, zum Beispiel eine Website mit pornografischen Inhalten, mit der die Hacker Geld verdienen können.

Überprüfen Sie in der Search Console zuerst mit dem Tool "Sicherheitsprobleme", ob Google Beispiele für diese Art von gehackten Seiten auf Ihrer Website entdeckt hat. In manchen Fällen können Sie solche Seiten auch finden, indem Sie die Google-Suche in einem Fenster öffnen und site:[your site] eingeben. So können Sie die von Google indexierten Seiten für Ihre Website sehen, einschließlich der gehackten Seiten. Überprüfen Sie in den Suchergebnissen ein paar Seiten auf ungewöhnliche URLs. Wenn Sie in der Google-Suche keine gehackten Inhalte finden, geben Sie dieselben Suchbegriffe noch einmal in einer anderen Suchmaschine ein. Bei anderen Suchmaschinen werden unter Umständen gehackte Inhalte angezeigt, die Google aus dem Index entfernt hat. Im Folgenden sehen Sie ein Beispiel dafür:

Hinweis: Die Suchergebnisse hier beinhalten viele Seiten, die nicht vom Inhaber der Website erstellt wurden. Die Beschreibungen im zweiten und dritten Suchergebnis sind Beispiele für unsinnigen Text, der durch diese Art von Hack erzeugt wird.

Wenn Sie eine gehackte Seite besuchen, sehen Sie unter Umständen eine Meldung, dass die Seite nicht existiert, wie beispielsweise die 404-Fehlermeldung. Lassen Sie sich nicht in die Irre führen! Die Hacker versuchen Ihnen vorzutäuschen, dass die gehackten Seiten nicht mehr existieren oder bereinigt sind und das Problem auf Ihrer Website damit behoben ist. Dazu nutzen sie Cloaking. Geben Sie die URLs Ihrer Website im Tool Abruf wie durch Google ein, um nach Cloaking zu suchen. Mit diesem Tool können Sie versteckte Inhalte finden. Im Folgenden finden Sie ein Beispiel dafür, wie diese Art von gehackten Seiten aussehen können.

Hack beheben

Erstellen Sie zuerst eine Offline-Kopie aller Dateien, die Sie entfernen möchten, damit Sie diese später im Zweifel wiederherstellen können. Am besten sichern Sie Ihre gesamte Website, bevor Sie mit der Bereinigung beginnen. Dazu können Sie alle Dateien, die sich auf Ihrem Server befinden, an einen Speicherort außerhalb Ihres Servers speichern. Sie können aber auch nach den optimalen Sicherungsoptionen für Ihr spezielles CMS suchen.

.htaccess-Datei in 3 Schritten überprüfen

Beim Keyword- und Link-Hacking durch Cloaking wird Ihre .htaccess-Datei genutzt, um auf Ihrer Website automatisch Cloaking-Seiten zu erstellen. Wir empfehlen Ihnen, sich auf der offiziellen Website von Apache über die .htaccess-Grundlagen zu informieren, um besser zu verstehen, wie der Hack Ihre Website beeinflusst.

Schritt 1

Suchen Sie die .htaccess-Datei auf Ihrer Website. Wenn Sie nicht sicher sind, wo Sie diese finden, und ein CMS wie WordPress, Joomla oder Drupal verwenden, geben Sie in einer Suchmaschine ".htaccess dateispeicherort" und den Namen Ihres CMS ein. Abhängig von Ihrer Website sehen Sie möglicherweise mehrere .htaccess-Dateien. Erstellen Sie eine Liste aller .htaccess-Dateispeicherorte.

Hinweis: Die .htaccess-Datei ist oft eine "versteckte Datei". Achten Sie deshalb darauf, dass bei der Suche auch versteckte Dateien angezeigt werden.

Schritt 2

Öffnen Sie die .htaccess-Datei, um sich die Inhalte anzusehen. In der Datei fnden Sie eine Codezeile, die beispielsweise so aussieht:

  RewriteRule (.*cj2fa.*|^tobeornottobe$) /injected_file.php?q=$1 [L]

Die Variablen in dieser Zeile können sich unterscheiden. Sowohl "cj2fa" als auch "tobeornottobe" können eine beliebige Kombination aus Buchstaben und Wörtern sein. Wichtig ist, die .php-Datei zu finden, auf die in dieser Zeile verwiesen wird.

Notieren Sie sich die .php-Datei, die in der .htaccess-Datei angegeben ist. Im Beispiel heißt die .php-Datei "injected_file.php". In Wirklichkeit wird der Name der .php-Datei jedoch nicht so offensichtlich sein. Meistens ist es eine zufällig Aneinanderreihung harmloser Wörter wie beispielsweise "horsekeys.php" oder "potatolake.php". Dabei handelt es sich mit hoher Wahrscheinlichkeit um eine schädliche .php-Datei, die ausfindig gemacht werden muss, um sie dann zu entfernen.

In Ihrer .htaccess-Datei sind aber nicht alle Zeilen mit RewriteRule und einer .php-Datei schädlich. Falls Sie Fragen zur Funktion bestimmter Codezeilen haben, stehen Ihnen in den Webmaster-Hilfeforen erfahrene Webmaster gerne zur Verfügung.

Schritt 3

Ersetzen Sie alle .htaccess-Dateien durch eine saubere oder standardmäßige Version der .htaccess-Datei. In der Regel finden Sie eine Standardversion einer .htaccess-Datei, indem Sie nach ".htaccess standarddatei file" und dem Namen Ihres CMS suchen. Für Websites mit mehreren .htaccess-Dateien sollten Sie für jede Datei eine saubere Version suchen und die alte Version damit ersetzen.

Wenn es keine .htaccess-Standarddatei gibt und Sie auf Ihrer Website noch nie eine .htaccess-Datei konfiguriert haben, ist die auf der Website vorhandene .htaccess-Datei wahrscheinlich schädlich. Speichern Sie sicherheitshalber eine Kopie der .htaccess-Dateien offline und löschen Sie die .htaccess-Datei von Ihrer Website.

Andere schädliche Dateien in 5 Schritten suchen und entfernen

Schädliche Dateien zu identifizieren, kann schwierig sein und mehrere Stunden dauern. Nehmen Sie sich Zeit, wenn Sie Ihre Dateien überprüfen. Bei dieser Gelegenheit können Sie auch die Dateien auf Ihrer Website sichern, falls Sie dies noch nicht getan haben. Geben Sie in der Google-Suche "Website sichern" und den Namen Ihres CMS ein, um nach einer Anleitung zum Sichern Ihrer Website zu suchen.

Schritt 1

Wenn Sie ein CMS verwenden, installieren Sie die wichtigsten Standarddateien, die in der Standardversion Ihres CMS enthalten sind, neu. Dies gilt auch für alle von Ihnen hinzugefügten Elemente wie Designs, Module und Plug-ins. So können Sie sicher sein, dass diese Dateien frei von gehackten Inhalten sind. Geben Sie in der Google-Suche "Neuinstallation" und den Namen Ihres CMS ein, um nach einer Anleitung zur Neuinstallation der Dateien zu suchen. Falls Sie Plug-ins, Module, Erweiterungen oder Designs nutzen, sollten Sie auch diese neu installieren.

Durch die Neuinstallation der Standarddateien können alle von Ihnen vorgenommenen Anpassungen verloren gehen. Erstellen Sie deshalb eine Sicherung Ihrer Datenbank und aller Dateien, bevor Sie die Neuinstallation durchführen.

Schritt 2

Suchen Sie als Erstes nach der .php-Datei, die Sie zuvor in der .htaccess-Datei identifiziert haben. Je nachdem, wie Sie auf die Dateien auf Ihrem Server zugreifen, können Sie dazu eine Suchfunktion nutzen. Geben Sie den Namen der schädlichen Datei ein. Wenn Sie die Datei finden, sollten Sie zuerst eine Sicherungskopie erstellen und diese an einem anderen Speicherort speichern, falls Sie sie wiederherstellen müssen. Löschen Sie dann die Datei von Ihrer Website.

Schritt 3

Suchen Sie nach weiteren schädlichen oder manipulierten Dateien. Möglicherweise haben Sie in den letzten beiden Schritten bereits alle schädlichen Dateien entfernt. Trotzdem empfehlen wir, auch die nächsten Schritte durchzuführen, falls es auf Ihrer Website doch noch weitere Dateien gibt, die manipuliert wurden.

Keine Sorge – Sie müssen dazu nicht jede einzelne PHP-Datei öffnen und überprüfen. Erstellen Sie zuerst eine Liste verdächtiger PHP-Dateien, die Sie überprüfen möchten. Hier sind einige Möglichkeiten, wie Sie herausfinden können, welche PHP-Dateien verdächtig sind:

  • Wenn Sie Ihre CMS-Dateien bereits neu geladen haben, schauen Sie sich nur die Dateien an, die nicht Teil Ihrer standardmäßigen CMS-Dateien oder -Ordner sind. Dadurch werden zahlreiche PHP-Dateien ausgeschlossen, sodass Sie nur noch wenige Dateien überprüfen müssen.
  • Sortieren Sie die Dateien auf Ihrer Website nach dem Datum der letzten Änderung. Suchen Sie nach Dateien, deren letzte Änderung in dem Zeitraum liegt, in dem Sie herausgefunden haben, dass Ihre Website gehackt wurde.
  • Sortieren Sie die Dateien auf Ihrer Website nach Größe. Suchen Sie nach ungewöhnlich großen Dateien.

Schritt 4

Sobald Sie eine Liste verdächtiger PHP-Dateien haben, überprüfen Sie, ob diese normal oder schädlich sind. Wenn Sie sich mit PHP nicht auskennen, kann dieser Vorgang zeitaufwendiger sein. In diesem Fall empfehlen wir, zuerst eine PHP-Dokumentation zu lesen. Aber selbst wenn Sie keine Programmiererfahrung haben, gibt es einige einfache Möglichkeiten, schädliche Dateien zu finden.

Suchen Sie als Erstes in den verdächtigen Dateien, die Sie bereits identifiziert haben, nach großen Textblöcken, die Kombinationen aus wahllos aneinandergereihten Buchstaben und Zahlen enthalten. Vor dem großen Textblock steht in der Regel eine Kombination von PHP-Funktionen wie base64_decode, rot13, eval, strrev oder gzinflate. Wie ein solcher Codeblock aussehen könnte, zeigt das folgende Beispiel. In manchen Fällen wird dieser Code in nur eine Textzeile gesetzt, sodass er kleiner erscheint, als er eigentlich ist.

<!--Hackers try to confuse webmasters by encoding malicious code into blocks of texts.
Be wary of unfamiliar code blocks like this.-->

base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));

Manchmal ist der Code nicht durcheinandergewürfelt, sondern sieht aus wie ein normales Skript. Wenn Sie unsicher sind, ob es sich um schädlichen Code handelt, helfen Ihnen die erfahrenen Webmaster in unseren Webmaster-Hilfeforen gerne weiter.

Schritt 5

Da Sie die verdächtigen Dateien nun identifiziert haben, können Sie diese für den Fall, dass sie nicht schädlich sind, sichern oder eine Kopie auf Ihrem Computer speichern und die verdächtigen Dateien löschen.

Überprüfen, ob Ihre Website bereinigt ist

Sobald Sie die gehackten Dateien entfernt haben, können Sie überprüfen, ob Ihre Website nun vollständig bereinigt ist. Erinnern Sie sich an die Seiten mit unsinnigen Inhalten, die Sie gefunden haben? Überprüfen Sie mit dem Tool "Abruf wie durch Google", ob die Seiten noch vorhanden sind. Wenn Sie mit "Abruf wie durch Google" die Antwort "Nicht gefunden" erhalten, ist das ein gutes Zeichen und Sie können mit dem Beheben der Sicherheitslücken auf Ihrer Website fortfahren.

Sie können auch der Anleitung in der Fehlerbehebung für gehackte Websites folgen, um zu überprüfen, ob sich auf Ihrer Website immer noch gehackte Inhalte befinden.

Wie kann ich einen weiteren Hack verhindern?

Das Beheben der Sicherheitslücken auf Ihrer Website ist ein wichtiger letzter Schritt zur Bereinigung Ihrer Website. Eine aktuelle Studie ergab, dass 20 % der gehackten Seiten innerhalb von einem Tag wieder gehackt werden. Deshalb ist es wichtig herauszufinden, wie genau Ihre Website gehackt wurde. Lesen Sie dazu unseren Leitfaden Die gängigsten Methoden von Spammern beim Hacken von Websites, bevor Sie mit der Überprüfung beginnen. Wenn Sie nicht herausfinden können, wie Ihre Website gehackt wurde, finden Sie unten einige Dinge, die Sie tun können, um Sicherheitslücken auf Ihrer Website zu reduzieren.

  • CMS, Plug-ins, Erweiterungen und Module regelmäßig aktualisieren: Diesen Schritt haben Sie hoffentlich bereits durchgeführt. Viele Websites können aufgrund von veralteter Software gehackt werden. Einige CMS unterstützten automatische Aktualisierungen.
  • Computer regelmäßig scannen: Verwenden Sie einen gängigen Virenscanner, um nach Viren oder Sicherheitslücken zu suchen.
  • Passwörter regelmäßig ändern: Um unautorisierten Zugriff auf Ihre Website zu verhindern, sollten Sie die Passwörter aller Konten auf Ihrer Website regelmäßig ändern. Dazu gehören beispielsweise die Konten von Hostanbietern, FTP und CMS. Es ist wichtig, für jedes Konto ein starkes und eindeutiges Passwort zu erstellen.
  • Bestätigung in zwei Schritten (2FA) nutzen: Die 2FA sollten Sie möglichst bei jedem Dienst verwenden, bei dem eine Anmeldung notwendig ist. Dadurch wird Hackern die Anmeldung erschwert, auch wenn sie Ihr Passwort gestohlen haben.
  • Sicherheitsdienst zur Überwachung Ihrer Website abonnieren: Es gibt viele sehr gute Anbieter, die Ihnen für wenig Geld bei der Überwachung Ihrer Website behilflich sind. Es empfiehlt sich, sich bei einem dieser Anbieter anzumelden.

Zusätzliche Ressourcen

Falls Sie immer noch Schwierigkeiten bei der Bereinigung Ihrer Website haben, gibt es noch ein paar weitere Ressourcen, die Ihnen helfen könnten.

Diese Tools scannen Ihre Website und können unter Umständen problematische Inhalte finden. Google unterstützt bzw. nutzt nur VirusTotal.

Virus Total, Aw-snap.info, Sucuri Site Check, Quttera: Mit diesen Tools können Sie Ihre Website auf problematische Inhalte untersuchen. Bitte denken Sie daran, dass auch mit diesen Tools nicht gewährleistet ist, dass alle Arten von problematischen Inhalten erkannt werden.

Weitere Ressourcen von Google, die Ihnen helfen könnten, finden Sie hier:

Sie kennen noch ein weiteres nützliches Tool? Lassen Sie es uns wissen.