Chrome Dev Summit 2018 is happening now and streaming live on YouTube. Watch now.

Mit Malware gehackt

Dieser Schritt bezieht sich auf Websites, die gehackt wurden, um Malware zu verbreiten. Sie werden in den Suchergebnissen oft mit der Warnung Diese Website kann Ihren Computer beschädigen angezeigt. Dies ist einer der längsten Schritte im Wiederherstellungsprozess. Im Folgenden erstellen Sie eine Liste der beschädigten Dateien auf Ihrer Website. Diese Liste wird später beim Schritt Website bereinigen und instand halten benötigt.

Falls Ihre Website von Spam betroffen ist und in den Suchergebnissen die Warnung Diese Website wurde möglicherweise gehackt angezeigt wird, sollten Sie sich die Seite Schaden durch Spam beurteilen ansehen.

Sie benötigen Folgendes:

  • Shell- bzw. Terminal-Administratorzugriff auf Ihre Website-Server: Web, Datenbank, Dateien
  • Kenntnisse der Shell- bzw. Terminal-Befehle
  • Die Fähigkeit, SQL-Abfragen in der Datenbank auszuführen

Was Sie tun müssen:

Vorbereitung

  1. Sie sollten die Seiten Ihrer Website nicht mit einem Browser aufrufen. Malware wird häufig durch Sicherheitslücken in Browsern verbreitet; deshalb könnte Ihr Computer beschädigt werden, falls Sie infizierte Seiten mit einem Browser öffnen.
  2. Erstellen Sie ein Dokument, um die Ergebnisse in diesem Schritt zu erfassen. Darin sollten Sie mindestens den Namen und Speicherort aller beschädigten Dateien und die Art der Infektion aufzeichnen. Dieses Dokument dient als Grundlage für den Abschnitt Website bereinigen und instand halten.
  3. Sehen Sie sich je nach Bedarf weitere Ressourcen an:
    • In dem Video oben auf dieser Seite wird erklärt, wie Malware funktioniert und wie Sie Ihre Malware-Untersuchung sicher durchführen können.
    • Auf der Diagnostikseite für Google Safe Browsing finden Sie öffentliche Informationen darüber, ob bestimmte Websites als gefährlich für Besucher eingeschätzt werden. Den Status Ihrer Website können Sie unter einer URL ähnlich der folgenden einsehen:
      http://www.google.com/safebrowsing/diagnostic?site=<your-site>
      Beispiel: http://www.google.com/safebrowsing/diagnostic?site=webmastercentralblog.blogspot.com
  4. Verwenden Sie cURL oder Wget, um HTTP-Anfragen durchzuführen – etwa zum Abrufen einer Seite.

    Diese kostenlos verfügbaren Tools helfen bei der Diagnose von Weiterleitungen und können Informationen zur Verweis-URL oder zum User-Agent beinhalten. Das ist besonders hilfreich, wenn Hacker nachgeahmt werden sollen, da schädliche Inhalte möglicherweise nur an Nutzer mit bestimmten User-Agents oder Verweis-URLs gesendet werden, um mehr "echte Menschen" zu erreichen, und um die Erkennung durch Website-Inhaber und Malware-Scanner zu vermeiden.

    $curl -v --referer "http://www.google.com" <your-url>

Untersuchung bestimmter Arten von Malware-Infektion auf Ihrer Website

  1. Wählen Sie Ihre bestätigte Website in der Search Console aus und klicken Sie dann auf Sicherheitsprobleme.
  2. Sehen Sie sich alle Malware-Kategorien wie z. B. "Serverkonfiguration" und "SQL-Einschleusung" an, die unter den Sicherheitsproblemen Ihrer Website aufgelistet sind. Klicken Sie auf "Details anzeigen", um zusätzliche Informationen zu infizierten URLs aus der Kategorie abzurufen. Die Details können vom Hacker eingeschleuste Beispiel-Code-Snippets enthalten. Kopieren Sie für jede Kategorie die folgenden Informationen in Ihr Untersuchungsdokument:
    • Alle infizierten Beispiel-URLs, die für die Malware-Kategorie unter "Sicherheitsprobleme" aufgelistet sind
    • Zusätzliche beschädigte Seiten, die Sie während Ihrer Untersuchung entdecken
    • Detaillierte Ergebnisse über die gehackten URLs – z. B. die Art der entstandenen Schäden
  3. Hilfreiche Informationen für die Untersuchung einer bestimmten Art von Malware finden Sie in folgenden Artikeln:

Beurteilung des Schadens am Dateisystem

Melden Sie sich nun im Dateisystem Ihrer Website an, um eine genauere Untersuchung durchzuführen. Bedenken Sie, dass der Hacker möglicherweise – unter anderem – die bestehenden Seiten oder Datensätze geändert, völlig neue Spam-Seiten erstellt oder Funktionen geschrieben hat, durch die Spaminhalte auf einer sauberen Seite eingeblendet werden. Er könnte auch Hintertüren eingerichtet haben, um noch einmal auf Ihre Website zuzugreifen oder immer wieder schädliche Aktionen durchzuführen, bis Sie Gegenmaßnahmen ergreifen.

Wenn Ihre Website online ist, können Sie sie für diesen Schritt wieder offline nehmen.

  1. Falls Sie über eine gute Sicherung Ihrer Website verfügen, sollten Sie ermitteln, welche Dateien seit der Sicherung geändert oder erstellt wurden. Fügen Sie diese Dateien auf Ihrer Liste hinzu, da sich eine nähere Untersuchung wahrscheinlich lohnen wird. Auf einem Unix-basierten System können Sie einen Befehl folgender Art ausführen:
    $ diff -qr <current-directory> <backup-directory>
    Beispiel:
    $ diff -qr www/ backups/full-backup-20120124/
    Auch ein Befehl dieser Art ist möglich:
    $ md5sum <current-page> <backup-page>
    Beispiel:
    $ md5sum www/page.html backups/full-backup-20120124/page.html
  2. Prüfen Sie die Server-, Zugriffs- und Fehlerprotokolle auf verdächtige Aktivitäten. Achten Sie dabei auf fehlgeschlagene Anmeldeversuche, Befehlsverläufe (besonders mit einem Root-Konto), die Einrichtung unbekannter Nutzerkonten und ähnliche Einträge. Es besteht aber die Möglichkeit, dass der Hacker diese Protokolle für die eigenen Zwecke geändert hat. Als zusätzliche Hilfe bietet das Video im Abschnitt Sicherheitslücken ermitteln ein paar Beispiele.
  3. Prüfen Sie, ob Weiterleitungen in Konfigurationsdateien wie .htaccess und httpd.conf eingefügt wurden. Hacker schaffen oft bedingte Umleitungen, die auf der Tageszeit oder der Verweis-URL des User-Agenten basieren.
  4. Prüfen Sie, ob die Ordner- und Dateiberechtigungen möglicherweise nicht restriktiv genug sind. Hacker manipulieren oftmals Berechtigungen in der Hoffnung, dass sie nicht entdeckt werden und dann nochmals auf die Website zugreifen können. Dateien mit Berechtigungen, die weniger streng als 644 (rw-r--r--) sind, und Ordner mit Berechtigungen, die weniger streng als 755 (rwxr-xr-x) sind, können Sicherheitsprobleme verursachen. Prüfen Sie, ob diese Berechtigungen auch stärker eingeschränkt werden können. Führen Sie auf einem Unix-basierten System testweise die folgenden Befehle durch:
    $ find <your-dir> -type d -not -perm 755 -exec ls -ld {} \;
    $ find <your-dir> -type f -not -perm 644 -exec ls -la {} \;
  5. Falls Sie eine Datenbank haben, sollten Sie alle Datensätze der Reihe nach mit einem Tool wie phpMyAdmin untersuchen.

Nächster Schritt

Der nächste Schritt im Verfahren ist: Sicherheitslücken ermitteln.