The #ChromeDevSummit site is live, happening Nov 12-13 in San Francisco, CA
Check it out for details and request an invite. We'll be diving deep into modern web tech & looking ahead to the platform's future.

Behebung von Hacking durch unsinnige Inhalte

Dieser Leitfaden wurde insbesondere für eine Art von Hacking erstellt, bei dem auf Ihrer Website Seiten mit vielen Keywords und unsinnigen Inhalten hinzugefügt werden, den wir im Folgenden als "Hacking durch unsinnige Inhalte" bezeichnen. Der Leitfaden richtet sich zwar speziell an Nutzer von bekannten Content-Management-Systemen (CMS), kann aber auch nützlich sein, wenn Sie kein CMS verwenden.

Hinweis: Sie sind sich nicht sicher, ob Ihre Website gehackt wurde? Dann lesen Sie zuerst den Leitfaden Überprüfen, ob Ihre Website gehackt wurde.

Inhaltsverzeichnis

Art des Hacks identifizieren

Bei dieser Hacking-Methode wird automatisch eine Vielzahl von Seiten mit sinnlosen Sätzen voller Keywords auf Ihrer Website erstellt. Diese Seiten wurden zwar nicht von Ihnen erstellt, die URLs können für Nutzer aber ansprechend sein, sodass sie sie anklicken. Mit dieser Form des Hackings möchten Hacker erreichen, dass die gehackten Seiten in der Google-Suche erscheinen. Wenn Nutzer die Seiten dann besuchen möchten, werden sie auf eine völlig andere Seite weitergeleitet, zum Beispiel eine Website mit pornografischen Inhalten. Dadurch verdienen Hacker Geld. Hier finden Sie einige Beispiele für Dateitypen, die auf einer gehackten Website mit unsinnigen Inhalten erscheinen könnten:

  • www.example.com/cheap-hair-styles-cool.html
  • www.example.com/free-pictures-fun.html
  • www.example.com/nice-song-download-file.php

Manchmal erscheinen sie in einem Ordner, der aus zufälligen Zeichen und Wörtern in verschiedenen Sprachen besteht:

  • www.example.com/jfwoea/cheap-hair-styles-cool.html
  • www.example.com/jfwoea/free-pictures-fun.html
  • www.example.com/jfwoea/www-ki-motn-dudh-photo.php
  • www.example.com/jfwoea/foto-cewe-zaman-sekarang.php

Überprüfen Sie in der Search Console zuerst im Tool "Sicherheitsprobleme", ob Google diese Art von gehackten Seiten auf Ihrer Website entdeckt hat. In manchen Fällen können Sie solche Seiten auch finden, indem Sie die Google-Suche in einem Fenster öffnen und site:your site url mit der URL des Stammverzeichnisses Ihrer Website eingeben. So können Sie die von Google indexierten Seiten für Ihre Website sehen, einschließlich der gehackten Seiten. Überprüfen Sie in den Suchergebnissen ein paar Seiten auf ungewöhnliche URLs. Wenn Sie in der Google-Suche keine gehackten Inhalte finden, geben Sie dieselben Suchbegriffe noch einmal in einer anderen Suchmaschine ein. Ungewöhnliche URLs würden beispielsweise wie folgt aussehen:

Die Suchergebnisse hier beinhalten viele Seiten, die nicht vom Inhaber der Website erstellt wurden. Wenn Sie sich die Beschreibungen genau ansehen, sehen Sie Beispiele für unsinnigen Text, der durch diesen Hack erstellt wird.

Wenn Sie auf einen Link einer gehackte Seite klicken, werden Sie üblicherweise entweder auf eine andere Website umgeleitet oder Sie sehen eine Seite voller unsinniger Inhalte. Unter Umständen sehen Sie auch eine Meldung, dass die Seite nicht existiert, wie beispielsweise die 404-Fehlermeldung. Lassen Sie sich nicht in die Irre führen! Die Hacker versuchen vorzutäuschen, dass die gehackte Seite nicht mehr existiert oder bereinigt ist. Dazu nutzen sie Cloaking. Geben Sie die URLs Ihrer Website im Tool Abruf wie durch Google ein, um nach Cloaking zu suchen. Mit diesem Tool können Sie versteckte Inhalte finden.

Wenn Sie Probleme dieser Art sehen, ist Ihre Website höchstwahrscheinlich von einem solchen Hack betroffen.

Hack beheben

Erstellen Sie zuerst eine Offline-Kopie aller Dateien, die Sie entfernen möchten, damit Sie diese später im Zweifel wiederherstellen können. Am besten sichern Sie Ihre gesamte Website, bevor Sie mit der Bereinigung beginnen. Dazu können Sie alle Dateien auf Ihrem Server offline speichern. Sie können aber auch nach den optimalen Sicherungsoptionen für Ihr spezielles CMS suchen.

.htaccess-Datei in 2 Schritten überprüfen

Das Hacking durch unsinnige Inhalte führt dazu, dass Nutzer Ihrer Website mithilfe der .htaccess-Datei auf eine andere Seite weitergeleitet werden.

Schritt 1

Suchen Sie die .htaccess-Datei auf Ihrer Website. Wenn Sie nicht sicher sind, wo Sie diese finden, und ein CMS wie WordPress, Joomla oder Drupal verwenden, geben Sie in einer Suchmaschine ".htaccess dateispeicherort" und den Namen Ihres CMS ein. Abhängig von Ihrer Website sehen Sie möglicherweise mehrere .htaccess-Dateien. Erstellen Sie eine Liste aller .htaccess-Dateispeicherorte.

Hinweis: Die .htaccess-Datei ist oft eine "versteckte Datei". Achten Sie deshalb darauf, dass bei der Suche auch versteckte Dateien angezeigt werden.

Schritt 2

Ersetzen Sie alle .htaccess-Dateien durch eine saubere oder standardmäßige Version der .htaccess-Datei. In der Regel finden Sie eine Standardversion einer .htaccess-Datei, indem Sie nach ".htaccess standarddatei" und dem Namen Ihres CMS suchen. Für Websites mit mehreren .htaccess-Dateien sollten Sie für jede Datei eine saubere Version suchen und die alte Version damit ersetzen.

Wenn es keine .htaccess-Standarddatei gibt und Sie auf Ihrer Website noch nie eine .htaccess-Datei konfiguriert haben, ist die auf der Website vorhandene .htaccess-Datei wahrscheinlich schädlich. Speichern Sie sicherheitshalber eine Kopie der .htaccess-Dateien offline und löschen Sie sie von Ihrer Website.

Andere schädliche Dateien in 5 Schritten suchen und entfernen

Schädliche Dateien zu identifizieren, kann schwierig sein und mehrere Stunden dauern. Nehmen Sie sich Zeit, wenn Sie Ihre Dateien überprüfen. Bei dieser Gelegenheit können Sie auch die Dateien auf Ihrer Website sichern, falls Sie dies noch nicht getan haben. Geben Sie in der Google-Suche "Website sichern" und den Namen Ihres CMS ein, um nach einer Anleitung zum Sichern Ihrer Website zu suchen.

Schritt 1

Wenn Sie ein CMS verwenden, installieren Sie die wichtigsten Standarddateien, die in der Standardversion Ihres CMS enthalten sind, neu. Dies gilt auch für alle von Ihnen hinzugefügten Elemente wie Designs, Module und Plug-ins. So können Sie sicher sein, dass diese Dateien frei von gehackten Inhalten sind. Geben Sie in der Google-Suche "Neuinstallation" und den Namen Ihres CMS ein, um nach einer Anleitung zur Neuinstallation der Dateien zu suchen. Falls Sie Plug-ins, Module, Erweiterungen oder Designs nutzen, sollten Sie auch diese neu installieren.

Durch die Neuinstallation der Standarddateien können alle von Ihnen vorgenommenen Anpassungen verloren gehen. Erstellen Sie deshalb eine Sicherung Ihrer Datenbank und aller Dateien, bevor Sie die Neuinstallation durchführen.

Schritt 2

Suchen Sie nun nach weiteren schädlichen oder manipulierten Dateien. Dies ist der zeitaufwendigste Schritt des Prozesses, aber danach haben Sie fast alles erledigt.

Bei diesem Hack treten in der Regel zwei Dateitypen auf: .txt- und .php-Dateien. Die .txt-Dateien dienen als Vorlage und mit den .php-Dateien wird festgelegt, welche Art von unsinnigem Inhalt auf Ihre Website hochgeladen wird. Suchen Sie zuerst nach den .txt-Dateien. Je nachdem, wie Sie auf Ihre Website zugreifen, können Sie dazu eine Suchfunktion für Dateien nutzen. Suchen Sie nach ".txt", um alle Dateien mit einer .txt-Erweiterung zu finden. Bei den meisten handelt es sich um legitime Textdateien, wie beispielsweise Lizenzvereinbarungen oder Infodateien. Sie suchen nach ganz bestimmten .txt-Dateien, in denen ein HTML-Code zum Erstellen von Spam-Vorlagen enthalten ist. Unten finden Sie verschiedene Code-Ausschnitte, die in den schädlichen .txt-Dateien vorkommen könnten.

Hacker verwenden Keyword-Ersatz, um die Spam-Seiten zu erstellen. Wahrscheinlich finden Sie ein allgemeines Wort, das in der gesamten gehackten Datei ersetzt werden kann.

  <title>{keyword}</title>
  <meta name="description" content="{keyword}" />
  <meta name="keywords" content="{keyword}" />
  <meta property="og:title" content="{keyword}" />

Darüber hinaus enthalten die meisten dieser Dateien eine Art von Code, der Spam-Links und Spam-Text außerhalb der sichtbaren Seite platziert.

  <div style="position: absolute; top: -1000px; left: -1000px;">
  Cheap prescription drugs
  </div>

Entfernen Sie diese .txt-Dateien. Wenn alle Dateien im selben Ordner gespeichert sind, können Sie den gesamten Ordner entfernen.

Schritt 3

Die schädlichen PHP-Dateien sind etwas schwieriger zu finden. Auf Ihrer Website könnte es eine oder mehrere schädliche PHP-Dateien geben. Diese könnten entweder alle im selben Unterverzeichnis enthalten oder auf Ihrer Website verteilt sein.

Keine Sorge – Sie müssen dazu nicht jede einzelne PHP-Datei öffnen und überprüfen. Erstellen Sie zuerst eine Liste verdächtiger PHP-Dateien, die Sie überprüfen möchten. Hier sind einige Möglichkeiten, wie Sie herausfinden können, welche PHP-Dateien verdächtig sind:

  • Da Sie Ihre CMS-Dateien bereits neu geladen haben, schauen Sie sich nur die Dateien an, die nicht Teil Ihrer standardmäßigen CMS-Dateien oder -Ordner sind. Dadurch werden zahlreiche PHP-Dateien ausgeschlossen, sodass Sie nur noch wenige Dateien überprüfen müssen.
  • Sortieren Sie die Dateien auf Ihrer Website nach dem Datum der letzten Änderung. Suchen Sie nach Dateien, deren letzte Änderung in dem Zeitraum liegt, in dem Sie herausgefunden haben, dass Ihre Website gehackt wurde.
  • Sortieren Sie die Dateien auf Ihrer Website nach Größe. Suchen Sie nach ungewöhnlich großen Dateien.

Schritt 4

Sobald Sie eine Liste verdächtiger PHP-Dateien haben, überprüfen Sie, ob diese normal oder schädlich sind. Wenn Sie sich mit PHP nicht auskennen, ist dieser Vorgang zeitaufwendiger. In diesem Fall empfehlen wir, zuerst eine PHP-Dokumentation zu lesen. Aber selbst wenn Sie keine Programmiererfahrung haben, gibt es einige einfache Möglichkeiten, schädliche Dateien zu finden.

Suchen Sie als Erstes in den verdächtigen Dateien, die Sie bereits identifiziert haben, nach großen Textblöcken, die Kombinationen aus wahllos aneinandergereihten Buchstaben und Zahlen enthalten. Vor dem großen Textblock steht in der Regel eine Kombination von PHP-Funktionen wie base64_decode, rot13, eval, strrev oder gzinflate. Wie ein solcher Codeblock aussehen könnte, zeigt das folgende Beispiel. In manchen Fällen wird dieser Code in nur eine Textzeile gesetzt, sodass er kleiner erscheint, als er eigentlich ist.

<!--Hackers try to confuse webmasters by encoding malicious code into blocks
of texts. Be wary of unfamiliar code blocks like this.-->

base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0VnZgk
nbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2chVmcnBydv
JGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2blRGI5xWZ0Fmb
1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah1GIvRHIzlGa0B
SZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch1GIlR2bjBCZlRXY
jNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));

Manchmal ist der Code nicht durcheinandergewürfelt, sondern sieht aus wie ein normales Skript. Wenn Sie unsicher sind, ob es sich um schädlichen Code handelt, helfen Ihnen die erfahrenen Webmaster in unseren Webmaster-Hilfeforen gerne weiter.

Schritt 5

Da Sie die verdächtigen Dateien nun identifiziert haben, können Sie diese für den Fall, dass sie nicht schädlich sind, sichern oder eine Kopie auf Ihrem Computer speichern und die verdächtigen Dateien löschen.

Überprüfen, ob Ihre Website bereinigt ist

Sobald Sie die gehackten Dateien entfernt haben, können Sie überprüfen, ob Ihre Website nun vollständig bereinigt ist. Erinnern Sie sich an die Seiten mit unsinnigen Inhalten, die Sie gefunden haben? Überprüfen Sie mit dem Tool "Abruf wie durch Google", ob die Seiten noch vorhanden sind. Wenn Sie mit "Abruf wie durch Google" die Antwort "Nicht gefunden" erhalten, ist das ein gutes Zeichen.

Sie können auch der Anleitung in der Fehlerbehebung für gehackte Websites folgen, um zu überprüfen, ob sich auf Ihrer Website immer noch gehackte Inhalte befinden.

Wie kann ich einen weiteren Hack verhindern?

Das Beheben der Sicherheitslücken auf Ihrer Website ist ein wichtiger letzter Schritt zur Bereinigung Ihrer Website. Eine aktuelle Studie ergab, dass 20 % der gehackten Seiten innerhalb von einem Tag wieder gehackt werden. Deshalb ist es wichtig herauszufinden, wie genau Ihre Website gehackt wurde. Lesen Sie dazu unseren Leitfaden Die gängigsten Methoden von Spammern beim Hacken von Websites, bevor Sie mit der Überprüfung beginnen. Wenn Sie nicht herausfinden können, wie Ihre Website gehackt wurde, finden Sie unten einige Dinge, die Sie tun können, um Sicherheitslücken auf Ihrer Website zu reduzieren.

  • Computer regelmäßig scannen: Verwenden Sie einen gängigen Virenscanner, um nach Viren oder Sicherheitslücken zu suchen.
  • Passwörter regelmäßig ändern: Um unautorisierten Zugriff auf Ihre Website zu verhindern, sollten Sie die Passwörter aller Konten auf Ihrer Website regelmäßig ändern. Dazu gehören beispielsweise die Konten von Hostanbietern, FTP und CMS. Es ist wichtig, für jedes Konto ein starkes und eindeutiges Passwort zu erstellen.
  • Bestätigung in zwei Schritten (2FA) nutzen: Die 2FA sollten Sie möglichst bei jedem Dienst verwenden, bei dem eine Anmeldung notwendig ist. Dadurch wird Hackern die Anmeldung erschwert, auch wenn sie Ihr Passwort gestohlen haben.
  • CMS, Plug-ins, Erweiterungen und Module regelmäßig aktualisieren: Diesen Schritt haben Sie hoffentlich bereits durchgeführt. Viele Websites können aufgrund von veralteter Software gehackt werden. Einige CMS unterstützten automatische Aktualisierungen.
  • Sicherheitsdienst zur Überwachung Ihrer Website abonnieren: Es gibt viele sehr gute Anbieter, die Ihnen für wenig Geld bei der Überwachung Ihrer Website behilflich sind. Es empfiehlt sich, sich bei einem dieser Anbieter anzumelden.

Zusätzliche Ressourcen

Falls Sie immer noch Schwierigkeiten bei der Bereinigung Ihrer Website haben, gibt es noch ein paar weitere Ressourcen, die Ihnen helfen könnten.

Diese Tools scannen Ihre Website und können unter Umständen problematische Inhalte finden. Google unterstützt bzw. nutzt nur VirusTotal.

Virus Total, Aw-snap.info, Sucuri Site Check, Quttera: Mit diesen Tools können Sie Ihre Website auf problematische Inhalte untersuchen. Bitte denken Sie daran, dass auch mit diesen Tools nicht gewährleistet ist, dass alle Arten von problematischen Inhalten erkannt werden.

Weitere Ressourcen von Google, die Ihnen helfen könnten, finden Sie hier:

Sie kennen noch ein weiteres nützliches Tool? Lassen Sie es uns wissen.