Website bereinigen und instand halten

Um Ihre Website sauber zu halten und zukünftige Hacks zu verhindern, benötigen Sie Folgendes:

  • Shell- oder Terminaladministratorzugriff auf die Server Ihrer Website: Web, Datenbank, Dateien
  • Kenntnisse von Shell- oder Terminalbefehlen
  • Codekenntnisse (z. B. PHP oder JavaScript)
  • Speicher zum Erstellen von Sicherungen Ihrer Website, einschließlich der Dateien, Datenbank und Bilder

Nächste Aktionen

Wir decken in diesem Schritt mehrere Aktionen ab:

  • Wo Sie zusätzliche Ressourcen finden, wenn Sie glauben, dass der Hacker versucht hat, an personenbezogene Daten von Nutzern zu gelangen (z. B. bei Phishing-Seiten)
  • Option zur Verwendung von URLs entfernen in der Search Console, um die Entfernung von völlig neuen, unerwünschten, für Nutzer sichtbaren URLs zu beschleunigen, die vom Hacker erstellt wurden und die nicht in den Google-Suchergebnissen angezeigt werden sollen.
  • die Option Google um erneutes Crawlen Ihrer URLs bitten in der Search Console, um die Verarbeitung sauberer Seiten, d. h. Seiten, die entweder neu sind oder kürzlich aktualisiert wurden, zu beschleunigen, die in den Google-Suchergebnissen angezeigt werden sollen.
  • Installation der neuesten und sichersten Version der Software
  • Entfernen unnötiger oder nicht verwendeter Anwendungen oder Plug-ins, die Ihre Website in Zukunft anfälliger machen könnten.
  • Wiederherstellung guter Inhalte und Löschen der Inhalte des Hackers.
  • Beseitigung der ursächlichen Sicherheitslücke, die vom Hacker ausgenutzt wurde
  • Alle Passwörter ändern.
  • Sicherheit Ihrer Website planen

1. Supportressourcen finden

Wenn von Ihrer Website vertrauliche Nutzerinformationen preisgegeben wurden (z. B. weil sie Teil eines Phishing-Angriffs war), sollten Sie die geschäftlichen, behördlichen oder rechtlichen Verpflichtungen berücksichtigen, bevor Sie mit der Bereinigung Ihrer Website oder dem Löschen von Dateien beginnen. In Fällen von Phishing finden Sie auf antiphishing.org nützliche Ressourcen, wie z. B. das Dokument Was tun, wenn Ihre Website durch Phisher gehackt wurde.

2. Neue, vom Hacker erstellte URLs zügig entfernen

Wenn der Hacker gänzlich neue, für Nutzer sichtbare URLs erstellt hat, können Sie diese Seiten mithilfe der Funktion URLs entfernen in der Search Console schneller aus den Google-Suchergebnissen entfernen. Dieser Schritt ist optional. Wenn Sie die Seiten einfach löschen und anschließend den Server so konfigurieren, dass er den Statuscode 404 zurückgibt, werden die Seiten im Laufe der Zeit nicht mehr im Google-Index angezeigt.

  • Die Entscheidung für die Entfernung von URLs hängt wahrscheinlich von der Anzahl der neuen, unerwünschten Seiten ab, die erstellt werden (könnte es zu umständlich sein, zu viele Seiten in das Tool zum Entfernen von URLs aufzunehmen), sowie von dem potenziellen Schaden, den diese Seiten für Nutzer verursachen könnten. Damit die über die Funktion „URL-Entfernung“ eingereichten Seiten nicht in den Suchergebnissen erscheinen, müssen sie so konfiguriert sein, dass sie für die unerwünschten und entfernten URLs den Fehler „404-Datei nicht gefunden“ zurückgeben.
  • Verwenden Sie dieses Tool nicht, um die Entfernung von zuvor intakten Seiten zu beantragen, die nur durch den Hacker beschädigt wurden. Diese Seiten sollten nach der Bereinigung in den Suchergebnissen erscheinen. Die URL-Entfernung ist nur für Seiten vorgesehen, die niemals in den Suchergebnissen angezeigt werden sollen.

3. Bearbeitung Ihrer gültigen Seiten durch Google beschleunigen

Wenn Sie neue oder aktualisierte Seiten haben, können Sie in der Search Console Google bitten, Ihre URLs noch einmal zu crawlen, um diese Seiten in den Google-Index aufzunehmen. Dies ist optional. Wenn Sie diesen Schritt überspringen, werden Ihre neuen oder geänderten Seiten wahrscheinlich mit der Zeit gecrawlt und verarbeitet.

4. Bereinigung Ihres Servers bzw. Ihrer Server starten

Es ist jetzt an der Zeit, mit der Bereinigung Ihrer Website auf Grundlage der Notizen zu beginnen, die Sie unter Schadensbeurteilung und Sicherheitslücke identifizieren angefertigt haben. Welchen Pfad Sie in diesem Schritt wählen, hängt von der verfügbaren Art der Sicherung ab:

  • Saubere und aktuelle Sicherung
  • Saubere, aber veraltete Sicherung
  • Keine Sicherung

Prüfen Sie zuerst, ob die Sicherung erstellt wurde, bevor Ihre Website gehackt wurde.

Saubere und aktuelle Sicherung

  1. Stellen Sie Ihre Sicherung wieder her.
  2. Installieren Sie alle verfügbaren Software-Upgrades, -Updates oder -Patches. Dazu gehören Software für das Betriebssystem, wenn Sie die Kontrolle über den Server haben, und alle Anwendungen wie das Content-Management-System, die E-Commerce-Plattform, Plug-ins oder Vorlagen.
  3. Entfernen Sie von der Website nicht mehr verwendete Software von Ihrem Server, z. B. Widgets, Plug-ins oder Anwendungen.
  4. Beseitigen Sie die Sicherheitslücken.
  5. Achten Sie darauf, dass alle im Schritt Schadensbeurteilung gefundenen Probleme behoben wurden.
  6. Ändern Sie noch einmal die Passwörter für alle zur Website gehörigen Konten (z.B. Anmeldungen für FTP- und Datenbankzugriff, Systemadministratoren und CMS-Konten). Für Unix-basierte Systeme:
passwd admin1

Saubere, aber veraltete Sicherung

  1. Erstellen Sie ein Speicherabbild der aktuellen Website, auch wenn sie noch infiziert ist. Diese Kopie ist nur zur Sicherheit. Markieren Sie die Kopie als infiziert, um sie von den anderen zu unterscheiden. Auf einem Unix-basierten System können Sie folgendermaßen ein Speicherabbild erstellen:
dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz
  1. Erstellen Sie eine Kopie des Dateisystems Ihres Servers, einschließlich Bildern und Mediendateien. Sollten Sie eine Datenbank verwenden, erstellen Sie ebenfalls eine Sicherung Ihrer Datenbank.
tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump -u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql
  1. Stellen Sie die saubere, aber veraltete Sicherung auf Ihrem Server wieder her.
  2. Überlege, ob du Software (z.B. Widgets, Plug-ins oder Anwendungen), die nicht mehr von deiner Website verwendet wird, von deinem Server entfernen kannst.
  3. Aktualisieren Sie die gesamte Software, einschließlich des Betriebssystems, wenn Sie die Kontrolle über den Server haben, sowie alle Softwareanwendungen wie das Content-Management-System, die E-Commerce-Plattform, Plug-ins und Vorlagen. Überprüfen und installieren Sie verfügbare Sicherheitsupdates und Patches.
  4. Beseitigen Sie die Sicherheitslücken.
  5. Führen Sie eine Website-diff entweder manuell oder automatisch aus – zwischen der sauberen Sicherung und der aktuellen infizierten Kopie.
diff -qr www/ backups/full-backup-20120124/
  1. Laden Sie alle neuen sauberen Inhalte, die Sie behalten möchten, von der infizierten Kopie auf den aktualisierten Server hoch.
rsync -avz /backups/full-backup-20120124/www/clean-file.jpg /www/
  1. Prüfen Sie, ob jede unter Schadensbeurteilung aufgeführte URL korrigiert wurde.
  2. Ändern Sie noch einmal die Passwörter für alle zur Website gehörigen Konten, z. B. Anmeldungen für den FTP- und Datenbankzugriff sowie für Systemadministratoren und CMS-Konten. Für Unix-basierte Systeme:
$passwd admin1

Keine Sicherung

Erstellen Sie zwei Sicherungen Ihrer Website, auch wenn sie noch infiziert ist. Mit einer zusätzlichen Sicherung können Sie versehentlich gelöschte Inhalte wiederherstellen oder den Vorgang rückgängig machen, wenn etwas nicht funktioniert. Beschriften Sie jede Sicherung mit dem Hinweis "infiziert".

Eine Ihrer Sicherungen besteht, nach den vorausgegangen Schritten, aus einem Speicherabbild, d.­ h. einer "Klonversion" Ihrer Website. Dieses Format macht das Wiederherstellen von Inhalten noch einfacher. Sie können das Laufwerk-Image für einen Notfall griffbereit haben. Verwenden Sie auf einem Unix-basierten System den folgenden Code, um ein Laufwerk-Image zu erstellen:

dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz

Die andere Sicherung ist eine Kopie des Dateisystems von Ihrem Server, einschließlich Bildern und Mediendateien. Wenn Sie eine Datenbank haben, sichern Sie diese ebenfalls.

tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump -u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql

Wenn Sie kein Speicherabbild haben, erstellen Sie jeweils zwei Sicherungen der Datenbank und des Dateisystems.

So bereinigen Sie den Inhalt der Website auf der neuen Kopie des Sicherungsdateisystems (nicht auf dem Server selbst):

  1. Wenn Sie bei Ihrer früheren Untersuchung festgestellt haben, dass die Dateiberechtigungen zu schwach sind, korrigieren Sie diese. Führen Sie dies auf der Sicherungskopie und nicht auf dem Server selbst aus.
  2. Bereinigen Sie ebenfalls die Sicherungskopie der unter Schadensbeurteilung als manipuliert eingestuften URLs. Das können Serverkonfigurationsdateien, JavaScript, HTML oder PHP sein.
  3. Entfernen Sie unbedingt auch neue vom Hacker erstellte Dateien, d. h. stellen Sie eine 404-Antwort bereit, die Sie mit dem Tool zum Entfernen von URLs in der Search Console eingereicht haben oder nicht.
  4. Wenn Ihr Code betroffen ist oder Ihre Passwörter geknackt wurden, beseitigen Sie die entsprechenden Sicherheitslücken. Input-Validierungs Bibliotheken oder Sicherheits-Audits können hierbei von Hilfe sein.
  5. Wenn Ihre Website eine Datenbank hat, beginnen Sie mit der Bereinigung von durch Hacker modifizierten Einträgen in Ihrer Sicherung. Bevor Sie denken, dass Sie fertig sind, prüfen Sie weitere Datensätze, um sicherzustellen, dass die Datenbank sauber aussieht.
  6. Ändern Sie noch einmal die Passwörter für alle zur Website gehörigen Konten, z. B. Anmeldungen für FTP- und Datenbankzugriff, Systemadministratoren und CMS-Konten. Verwenden Sie auf Unix-basierten Systemen den folgenden Code:
$passwd admin1

An dieser Stelle sollte die einmal infizierte Sicherungskopie Ihrer Website nur bereinigte Daten enthalten. Halten Sie die bereinigte Kopie griffbereit und fahren Sie mit Schritt 5 fort.

5. Unnötige Software entfernen

Überlegen Sie, ob Sie nicht mehr von Ihrer Website verwendete Software von Ihrem Server entfernen können, z. B. Widgets, Plug-ins oder Anwendungen. Dies kann die Sicherheit erhöhen und die zukünftige Wartung vereinfachen.

6. Alle Server bereinigen

  1. Führen Sie eine saubere Installation durch, nicht nur ein Upgrade. Upgrades können Dateien aus einer früheren Version zurücklassen. Wenn eine infizierte Datei auf dem Server verbleibt, ist die Wahrscheinlichkeit höher, dass Ihre Website erneut gehackt wird.
    • Wenn Sie die Kontrolle über den Server haben, sollten in der Neuinstallation das Betriebssystem und alle Softwareanwendungen wie das Content-Management-System, die E-Commerce-Plattform, Plug-ins und Vorlagen enthalten sein. Prüfen Sie auch, ob Sicherheitsupdates und Patches verfügbar sind.
  2. Übertragen Sie fehlerfreie Inhalte aus der sauberen Sicherungsdateisystemkopie auf die neu installierten Server. Laden Sie nur die bekanntermaßen sauberen Dateien oder die Datenbank hoch und stellen Sie diese wieder her. Achten Sie darauf, die entsprechenden Dateiberechtigungen zu erhalten und die frisch installierten Systemdateien nicht zu überschreiben.
  3. Ändern Sie ein letztes Mal die Passwörter aller zur Website gehörigen Konten, z.B. Anmeldungen für den FTP- und Datenbankzugriff, für Systemadministratoren und CMS-Konten. Verwenden Sie auf Unix-basierten Systemen den folgenden Code:
passwd admin1

7. Langfristigen Wartungsplan erstellen

Wir empfehlen Ihnen dringend, die folgenden Schritte auszuführen:

  • Erstellen Sie regelmäßige, automatisierte Sicherungen Ihrer Website.
  • Achten Sie darauf, Software auf dem neuesten Stand zu halten.
  • Informieren Sie sich über die Sicherheitsmaßnahmen aller Anwendungen, Plug-ins und anderer Drittanbietersoftware, bevor Sie diese auf Ihrem Server installieren. Eine Sicherheitslücke in einer Softwareanwendung kann sich auf die Sicherheit Ihrer gesamten Website auswirken.
  • Erstellen Sie starke Passwörter.
  • Sorgen Sie dafür, dass alle Geräte, mit denen Sie sich auf dem Computer anmelden, sicher sind (aktuelles Betriebssystem und Browser).

8. Nochmals überprüfen, ob die Bereinigung abgeschlossen ist

Stellen Sie sicher, dass Sie auf die folgenden Fragen mit "Ja" antworten können:

  • Habe ich die richtigen Schritte unternommen, wenn der Hacker an personenbezogene Daten von Nutzern gelangt ist?
  • Läuft auf meiner Website die neueste und sicherste Softwareversion?
  • Habe ich alle unnötigen oder ungenutzten Anwendungen oder Plug-ins entfernt, die meine Website in Zukunft anfälliger machen könnten?
  • Habe ich meine Inhalte wiederhergestellt und die Inhalte des Hackers entfernt?
  • Habe ich die Grundursache der Sicherheitslücke beseitigt, durch die meine Website gehackt werden konnte?
  • Habe ich einen Plan, um meine Website auf Dauer abzusichern?

Sie können Ihre Website jetzt wieder online präsentieren.