Chrome Dev Summit 2018 is happening now and streaming live on YouTube. Watch now.

Behebung von Hacking durch japanische Keywords

Dieser Leitfaden wurde insbesondere für eine Art von Hack erstellt, bei dem auf Ihrer Website automatisch generierter japanischer Text erscheint und den wir im Folgenden als "Hacking durch japanische Keywords" bezeichnen. Der Leitfaden richtet sich zwar speziell an Nutzer von bekannten Content-Management-Systemen (CMS), kann aber auch nützlich sein, wenn Sie kein CMS verwenden.

Hinweis: Sie sind sich nicht sicher, ob Ihre Website gehackt wurde? Dann lesen Sie zuerst den Leitfaden Überprüfen, ob Ihre Website gehackt wurde.

Inhaltsverzeichnis

Art des Hacks identifizieren

Beim Hacking durch japanische Keywords werden in der Regel neue Seiten mit automatisch generiertem japanischem Text auf Ihrer Website erstellt. Diese befinden sich in zufällig generierten Verzeichnissen, wie zum Beispiel http://ihrebeispielurl.de/ltjmnjp/341.html. Diese Seiten werden mithilfe von Links zu Online-Stores mit gefälschten Markenprodukten monetarisiert und dann in der Google-Suche angezeigt. Die Seiten können beispielsweise so aussehen:

Bei dieser Art von Hack fügt der Hacker sich üblicherweise in der Search Console als Property-Inhaber hinzu, um den Gewinn durch Manipulation der Website-Einstellungen, wie geografische Ausrichtung oder Sitemaps, zu steigern. Wenn Sie eine Benachrichtigung erhalten haben, dass eine fremde Person Ihre Website in der Search Console bestätigt hat, ist es sehr wahrscheinlich, dass Ihre Website gehackt wurde.

Überprüfen Sie in der Search Console zuerst im Tool "Sicherheitsprobleme", ob Google diese Art von gehackten Seiten auf Ihrer Website entdeckt hat. Sie können solche Seiten auch finden, indem Sie die Google-Suche in einem Fenster öffnen und site:[your site root URL] eingeben. So können Sie die von Google indexierten Seiten für Ihre Website sehen, einschließlich der gehackten Seiten. Überprüfen Sie in den Suchergebnissen ein paar Seiten auf ungewöhnliche URLs. Wenn Sie in der Google-Suche keine gehackten Inhalte finden, geben Sie dieselben Suchbegriffe noch einmal in einer anderen Suchmaschine ein. Bei anderen Suchmaschinen werden unter Umständen gehackte Inhalte angezeigt, die Google aus dem Index entfernt hat. Ungewöhnliche URLs würden beispielsweise wie folgt aussehen:

Die Suchergebnisse hier beinhalten viele Seiten, die nicht vom Inhaber der Website erstellt wurden. Wenn Sie sich die Beschreibungen genau ansehen, finden Sie Beispiele für japanischen Text, der bei dieser Hacking-Methode verwendet wird.

Wenn Sie eine gehackte Seite besuchen, sehen Sie unter Umständen eine Meldung, dass die Seite nicht existiert, wie beispielsweise die 404-Fehlermeldung. Lassen Sie sich nicht in die Irre führen! Die Hacker versuchen Ihnen vorzutäuschen, dass die gehackten Seiten nicht mehr existieren oder bereinigt sind und das Problem auf Ihrer Website damit behoben ist. Dazu nutzen sie Cloaking. Geben Sie die URLs Ihrer Website in der Search Console im Tool Abruf wie durch Google ein, um nach Cloaking zu suchen. Mit diesem Tool können Sie versteckte Inhalte finden.

Hack beheben

Erstellen Sie zuerst eine Offline-Kopie aller Dateien, die Sie entfernen möchten, damit Sie diese später im Zweifel wiederherstellen können. Am besten sichern Sie Ihre gesamte Website, bevor Sie mit der Bereinigung beginnen. Dazu können Sie alle Dateien, die sich auf Ihrem Server befinden, an einem Speicherort außerhalb Ihres Servers speichern. Sie können aber auch nach den optimalen Sicherungsoptionen für Ihr spezielles Content-Management-System (CMS) suchen. Wenn Sie ein CMS verwenden, sollten Sie auch die Datenbank sichern.

Alle neu erstellten Konten aus der Search Console entfernen

Wenn ein neuer Inhaber, den Sie nicht kennen, zu Ihrem Search Console-Konto hinzugefügt wurde, sollten Sie diese Zugriffsberechtigung so schnell wie möglich widerrufen. Auf der Bestätigungsseite der Search Console können Sie überprüfen, welche Nutzer für Ihre Website verifiziert sind. Klicken Sie auf "Überprüfungsdetails" für die Website, um alle verifizierten Benutzer zu sehen.

Lesen Sie im Hilfeartikel Nutzer, Inhaber und Berechtigungen verwalten im Abschnitt "Inhaber hinzufügen oder entfernen" nach, wie Sie Inhaber in der Search Console entfernen können. Sie müssen dazu das dazugehörige Bestätigungstoken entfernen. Dieses ist in der Regel entweder eine HTML-Datei im Stammverzeichnis Ihrer Website oder eine dynamisch erstellte .htaccess-Datei, die wie eine HTML-Datei aussieht.

Wenn Sie auf Ihrer Website kein HTML-Bestätigungstoken finden, suchen Sie in Ihrer .htaccess-Datei nach einer Überschreibungsregel. Diese sieht ungefähr so aus:

  RewriteEngine On
  RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L] 

Hinweis: Normalerweise können Sie überprüfen, ob Sie ein dynamisch generiertes Bestätigungstoken entfernt haben, indem Sie eine simulierte Bestätigungstoken-Datei wie wwww.example.com/google[random number and letters].html öffnen. Wenn Ihre Website beispielsweise www.michaelsfussballkarten.de heißt, versuchen Sie, www.michaelsfussballkarten.de/google1234.html zu öffnen. Falls Sie auf dieser Seite den HTTP-Fehlercode 404 erhalten, ist das dynamisch generierte Bestätigungstoken sehr wahrscheinlich behoben.

Folgen Sie der Anleitung unten, um das dynamisch generierte Bestätigungstoken aus Ihrer .htaccess-Datei zu entfernen.

.htaccess-Datei in 2 Schritten überprüfen

Abgesehen von der Nutzung einer .htaccess-Datei zur Erstellung dynamisch generierter Bestätigungstokens nutzen Hacker oftmals .htaccess-Regeln, um Nutzer auf andere Seiten weiterzuleiten oder Spam-Seiten mit unsinnigem Inhalt zu erstellen. Wenn Sie keine benutzerdefinierten .htaccess-Regeln haben, sollten Sie Ihre .htaccess-Datei durch eine vollkommen neue Kopie ersetzen.

Schritt 1

Suchen Sie die .htaccess-Datei auf Ihrer Website. Wenn Sie nicht sicher sind, wo Sie diese finden, und ein CMS wie WordPress, Joomla oder Drupal verwenden, geben Sie in einer Suchmaschine ".htaccess Dateispeicherort" und den Namen Ihres CMS ein. Abhängig von Ihrer Website haben Sie möglicherweise mehrere .htaccess-Dateien. Erstellen Sie eine Liste aller .htaccess-Dateispeicherorte.

Schritt 2

Ersetzen Sie alle .htaccess-Dateien durch eine saubere oder standardmäßige Version der .htaccess-Datei. In der Regel finden Sie eine Standardversion einer .htaccess-Datei, indem Sie nach ".htaccess standarddatei" und dem Namen Ihres CMS suchen. Für Websites mit mehreren .htaccess-Dateien sollten Sie für jede Datei eine saubere Version suchen und die alte Version damit ersetzen.

Hinweis: Die .htaccess-Datei ist oft eine "versteckte Datei". Achten Sie deshalb darauf, dass bei der Suche auch versteckte Dateien angezeigt werden.

Alle schädlichen Dateien und Skripte in 4 Schritten entfernen

Schädliche Dateien zu identifizieren, kann schwierig sein und mehrere Stunden dauern. Nehmen Sie sich Zeit, wenn Sie Ihre Dateien überprüfen. Bei dieser Gelegenheit können Sie auch die Dateien auf Ihrer Website sichern, falls Sie dies noch nicht getan haben. Geben Sie in der Google-Suche "Website sichern" und den Namen Ihres CMS ein, um nach einer Anleitung zum Sichern Ihrer Website zu suchen.

Schritt 1

Wenn Sie ein CMS verwenden, installieren Sie die wichtigsten Standarddateien neu, die in der Standardversion Ihres CMS enthalten sind. So können Sie sicher sein, dass diese Dateien frei von gehackten Inhalten sind. Geben Sie in der Google-Suche "Neuinstallation" und den Namen Ihres CMS ein, um nach einer Anleitung zur Neuinstallation der Dateien zu suchen. Falls Sie Plug-ins, Module, Erweiterungen oder Designs nutzen, sollten Sie auch diese neu installieren.

Durch die Neuinstallation der Standarddateien können alle von Ihnen vorgenommenen Anpassungen verloren gehen. Erstellen Sie deshalb eine Sicherung Ihrer Datenbank und aller Dateien, bevor Sie die Neuinstallation durchführen.

Schritt 2

Hacker ändern oft Ihre Sitemap oder fügen neue Sitemaps hinzu, damit ihre URLs schneller indexiert werden. Wenn Sie eine Sitemap-Datei hatten, überprüfen Sie die Datei auf verdächtige Links und entfernen Sie diese aus Ihrer Sitemap. Wenn es irgendwelche Sitemap-Dateien gibt, die Sie Ihrer Meinung nach Ihrer Website nicht selbst hinzugefügt haben, überprüfen Sie diese und entfernen Sie sie, wenn sie nur Spam-URLs enthalten.

Schritt 3

Suchen Sie nach schädlichen oder manipulierten Dateien. Möglicherweise haben Sie in den letzten beiden Schritten bereits alle schädlichen Dateien entfernt. Trotzdem empfehlen wir, auch die nächsten Schritte durchzuführen, falls es auf Ihrer Website doch noch weitere Dateien gibt, die manipuliert wurden.

Keine Sorge – Sie müssen dazu nicht jede einzelne PHP-Datei öffnen und überprüfen. Erstellen Sie zuerst eine Liste verdächtiger PHP-Dateien, die Sie überprüfen möchten. Hier sind einige Möglichkeiten, wie Sie herausfinden können, welche PHP-Dateien verdächtig sind:

  • Da Sie Ihre CMS-Dateien bereits neu geladen haben, schauen Sie sich nur die Dateien an, die nicht Teil Ihrer standardmäßigen CMS-Dateien oder -Ordner sind. Dadurch werden zahlreiche PHP-Dateien ausgeschlossen, sodass Sie nur noch wenige Dateien überprüfen müssen.
  • Sortieren Sie die Dateien auf Ihrer Website nach dem Datum der letzten Änderung. Suchen Sie nach Dateien, deren letzte Änderung in dem Zeitraum liegt, in dem Sie herausgefunden haben, dass Ihre Website gehackt wurde.
  • Sortieren Sie die Dateien auf Ihrer Website nach Größe. Suchen Sie nach ungewöhnlich großen Dateien.

Hinweis: Angreifer fügen häufig Skripte zu folgenden Dateien hinzu: index.php, wp-load.php, 404.php und view.php.

Schritt 4

Überprüfen Sie die verdächtigen PHP-Dateien auf der Liste darauf, ob diese schädlich sind. Wenn Sie sich mit PHP nicht auskennen, kann dieser Vorgang zeitaufwendiger sein. In diesem Fall empfehlen wir, zuerst eine PHP-Dokumentation zu lesen. Wenn Sie keine Programmiererfahrung haben, sollten Sie sich dafür professionelle Hilfe suchen. Es gibt jedoch auch einige Möglichkeiten, wie Sie in der Zwischenzeit schädliche Dateien finden können.

Wenn Sie ein CMS verwenden und diese Dateien normalerweise nicht direkt bearbeiten, vergleichen Sie die Dateien auf Ihrem Server mit einer Liste der im CMS enthaltenen Standarddateien sowie Plug-ins und Designs. Suchen Sie nach Dateien, die nicht dazugehören, sowie nach Dateien, die größer als die Standardversionen sind.

Suchen Sie in den verdächtigen Dateien, die Sie bereits identifiziert haben, nach Textblöcken mit verschleiertem Code. Dieser besteht möglicherweise aus einer Kombination von wahllos aneinandergereihten Buchstaben und Zahlen. Vor dem verschleierten Code steht in der Regel eine Kombination von PHP-Funktionen wie base64_decode, rot13, eval, strrev oder gzinflate. In manchen Fällen sind jedoch sogar diese Funktionen verschleiert. Wie ein solcher Codeblock aussehen könnte, sehen Sie im folgenden Beispiel. Manchmal wird dieser Code in nur eine Textzeile gesetzt, sodass er kleiner erscheint, als er eigentlich ist.

  $O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
  %78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
  $OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}

Überprüfen, ob Ihre Website bereinigt ist

Sobald Sie die gehackten Dateien entfernt haben, können Sie überprüfen, ob Ihre Website nun vollständig bereinigt ist. Erinnern Sie sich an die Seiten mit unsinnigen Inhalten, die Sie gefunden haben? Überprüfen Sie mit dem Tool "Abruf wie durch Google", ob die Seiten noch vorhanden sind. Wenn Sie mit "Abruf wie durch Google" die Antwort "Nicht gefunden" erhalten, ist das ein gutes Zeichen.

Sie können auch der Anleitung in der Fehlerbehebung für gehackte Websites folgen, um zu überprüfen, ob sich auf Ihrer Website immer noch gehackte Inhalte befinden.

Wie kann ich einen weiteren Hack verhindern?

Das Beheben der Sicherheitslücken auf Ihrer Website ist ein wichtiger letzter Schritt zur Bereinigung Ihrer Website. Eine aktuelle Studie ergab, dass 12 % der gehackten Seiten innerhalb von 30 Tagen wieder gehackt werden. Deshalb ist es wichtig herauszufinden, wie genau Ihre Website gehackt wurde. Lesen Sie dazu unseren Leitfaden Die gängigsten Methoden von Spammern beim Hacken von Websites, bevor Sie mit der Überprüfung beginnen. Wenn Sie nicht herausfinden können, wie Ihre Website gehackt wurde, finden Sie hier einige Dinge, die Sie tun können, um Sicherheitslücken auf Ihrer Website zu reduzieren.

  • Computer regelmäßig scannen: Verwenden Sie einen vertrauenswürdigen Virenscanner, um nach Viren oder Sicherheitslücken zu suchen.
  • Passwörter regelmäßig ändern: Um unautorisierten Zugriff auf Ihre Website zu verhindern, sollten Sie die Passwörter aller Konten auf Ihrer Website regelmäßig ändern. Dazu gehören beispielsweise die Konten von Hostanbietern, FTP und CMS. Es ist wichtig, für jedes Konto ein starkes und eindeutiges Passwort zu erstellen.
  • Bestätigung in zwei Schritten (2FA) nutzen: Die 2FA sollten Sie möglichst bei jedem Dienst verwenden, bei dem eine Anmeldung notwendig ist. Dadurch wird Hackern die Anmeldung erschwert, auch wenn sie Ihr Passwort gestohlen haben.
  • CMS, Plug-ins, Erweiterungen und Module regelmäßig aktualisieren: Diesen Schritt haben Sie hoffentlich bereits durchgeführt. Viele Websites können aufgrund von veralteter Software gehackt werden. Einige CMS unterstützten automatische Aktualisierungen.
  • Sicherheitsdienst zur Überwachung Ihrer Website abonnieren: Es gibt viele sehr gute Anbieter, die Ihnen für wenig Geld bei der Überwachung Ihrer Website behilflich sind. Es empfiehlt sich, sich bei einem dieser Anbieter anzumelden.

Zusätzliche Ressourcen

Falls Sie immer noch Schwierigkeiten bei der Bereinigung Ihrer Website haben, gibt es noch ein paar weitere Ressourcen, die Ihnen helfen könnten.

Diese Tools scannen Ihre Website und können unter Umständen problematische Inhalte finden. Google unterstützt bzw. nutzt nur VirusTotal.

Virus Total, Aw-snap.info, Sucuri Site Check, Quttera: Mit diesen Tools können Sie Ihre Website auf problematische Inhalte untersuchen. Bitte denken Sie daran, dass auch mit diesen Tools nicht gewährleistet ist, dass alle Arten von problematischem Inhalt erkannt werden.

Weitere Ressourcen von Google, die Ihnen helfen könnten, finden Sie hier: