Meine Site wurde gehackt - was jetzt?

Ok, ihr seid also gehackt worden. Das passiert vielen Webmastern trotz der harten Arbeit, die ihr investiert, um genau dies zu vermeiden. Tipps zum Schutz davor sind unter anderem, eure Site immer mit der neuesten Software und Patches aufzurüsten, ein Konto in den Google Webmaster-Tools anzulegen, um zu sehen, was indexiert wird, ein Auge auf die Logfiles zu haben, um sicherzustellen, dass nichts Verdächtiges vor sich geht, usw. (Mehr Informationen dazu gibt es in der Sicherheits-Checkliste, die wir letztes Jahr veröffentlicht haben.)

Denkt daran, dass ihr nicht allein seid - gehackte Sites werden zunehmend häufiger. Wenn ihr gehackt seid, kann es sein, dass eure Site mit Badware (genauer gesagt Malware, einem Typ von Badware) infiziert ist. Werft einen Blick auf den Bericht über
Trends in Badware 2007, der von StopBadware kürzlich veröffentlicht wurde, um einen ausführlichen Überblick über Trends und Bedrohungen durch Badware im vergangenen Jahr zu bekommen. Lest auch diesen Post auf dem Google Online Security Blog, der auf den Anstieg von Suchergebnissen hinweist, die eine als schädlich gekennzeichnete URL enthalten. Einen noch ausführlicheren Fachbericht über eine Analyse webbasierter Malware findet ihr auf The Ghost in the Browser (pdf) und in diesem Fachbericht (pdf) über Drive-by-Downloads. Diese Berichte können euch ein besseres Verständnis für das Problem verschaffen. Sie beinhalten auch einige tatsächliche Beispiele für die verschiedenen Malware-Typen.

Als ersten Schritt solltet ihr auf jeden Fall euren Hostingprovider kontaktieren, sofern ihr einen habt. Meistens können sie den größten und komplizierteren Teil auf der technischen Seite für euch erledigen. Viele Webmaster verwenden Shared Hosting, was es erschweren kann, einige der unten gelisteten Tipps zu befolgen. Manche Tipps, die mit einem Asterisk (*) gekennzeichnet sind, sind Fälle, in denen Webmaster, die Shared Hosting verwenden, höchstwahrscheinlich Unterstützung von ihrem Hostingprovider brauchen. Für den Fall, dass ihr euren Server vollständig selbst verwaltet, empfehlen wir diese vier Grundschritte:


Nehmt eure Site offline

  • Nehmt eure Site vorübergehend offline, zumindest solange bis ihr wisst, dass das Problem gelöst ist. *
  • Wenn ihr die Site nicht offline nehmen könnt, dann gebt einen 503 Statuscode aus, damit sie nicht gecrawlt wird.
  • Verwendet das Tool zum Entfernen von URLs in den Webmaster-Tools, um alle gehackten Seiten oder URLs aus den Suchergebnissen zu entfernen, sofern sie indexiert wurden. Dadurch wird verhindert, dass die gehackten Seiten für User zur Verfügung stehen.
Schadensaufnahme
  • Es ist eine gute Idee herauszufinden, was die Hacker genau im Sinn hatten.
    • Haben sie nach vertraulichen Informationen gesucht?
    • Wollten sie sich eurer Site bemächtigen, um sie für andere Zwecke zu missbrauchen?
  • Sucht auf eurem Webserver nach veränderten oder zusätzlich hochgeladenen Dateien.
  • Überprüft, ob ihr in euren Serverlogfiles verdächtige Aktivitäten entdecken könnt, wie beispielsweise vergebliche Loginversuche, Aktivitäten in der Commandhistory (besonders solche, die als "Root" durchgeführt wurden), unbekannte Nutzerkonten etc.
  • Bestimmt das Ausmaß des Problems - habt ihr andere Sites, die vielleicht betroffen sind?
Rettung
  • Die absolut beste Maßnahme ist hier eine komplette Neuinstallierung des Betriebssystems von einer gesicherten Bezugsquelle. Das ist der einzige Weg, um vollständig sicher zu sein, dass ihr alles entfernt, was der Hacker vielleicht angerichtet hat.*
  • Nach einer frischen Neuinstallierung solltet ihr das letzte Backup verwenden, um eure Site wieder herzustellen. Vergesst auch nicht sicherzustellen, dass das Backup sauber und frei von gehacktem Content ist.*
  • Fügt auch alle Softwarepakete zur letzten Version hinzu. Dies beinhaltet Dinge wie Weblogplattformen, Content-Management-Systeme oder jegliche andere installierte Software von dritter Seite.
  • Ändert eure Passwörter - https://www.google.com/accounts/PasswordHelp?hl=de
Wiederherstellung eures Onlineauftritts
  • Stellt euer System wieder online.
  • Wenn ihr ein User der Webmaster-Tools seid, dann loggt euch in euer Konto ein:
    • Falls eure Site als eine Site, die Malware verbreitet, identifiziert wurde, stellt einen Antrag auf Überprüfung, um festzustellen, ob eure Site frei von schädlichem Content ist.
    • Falls ihr URLs mit dem Tool zum Entfernen von URLs entfernt habt, die ihr eigentlich im Index behalten wollt, beantragt in den Webmaster-Tools, dass euer Content wieder aufgenommen wird.
  • Behaltet eure Site weiterhin genauer im Auge, da der Hacker vielleicht zurückkommt.
Antworten auf Fragen, die ihr vielleicht habt:

F: Um zu verhindern, dass meine Site gecrawlt wird - Ist es besser, meine Site offline zu nehmen oder die "robots.txt"-Datei zu verwenden?

A: Es ist besser, die Site offline zu nehmen; dadurch wird verhindert, dass jegliche Art von Malware oder Badware den Usern präsentiert wird, und Hacker werden von weiterem Missbrauch des Systems abgehalten.


F: Wenn ich meine Site von dem gehackten Content befreit habe - was ist der schnellste Weg, um wieder gecrawlt zu werden?

A: Unabhängig davon, ob eure Site gehackt wurde oder nicht - der schnellste Weg, wieder gecrawlt zu werden, ist den
Richtlinien in der Hilfe für Webmaster zu folgen.

F: Ich habe meine Site wieder in Ordnung gebracht - wird Google mich dennoch mit einer Abwertung versehen, falls mich der Hacker mit einer Bad Neighbourhood verlinkt hat?

A: Wir tun unser Bestes, dass dies nicht passiert. Wir sind überaus gut darin sicherzustellen, dass gute Sites aufgrund von Aktionen von Hackern und Spammern nicht mit einer Abwertung versehen werden . Um sicher zu sein, solltet ihr jegliche Links entfernen, welche von den Hackern hinzugefügt wurden.


F: Was, wenn mein persönlicher Rechner betroffen ist?

A: Alles oben bereits Erwähnte trifft auch in diesem Fall zu. Ihr solltet in jedem Fall besonders gründlich vorgehen; falls ihr dies nicht tut, ist es wahrscheinlich, dass dasselbe noch einmal passiert. Eine komplette Neuinstallierung des Betriebssystems ist ideal.


Zusätzliche Quellen, die ihr vielleicht hilfreich findet:

Falls ihr zusätzliche Tipps habt, dann hinterlasst diese gerne in den Kommentaren.

My site's been hacked - now what? (English version)

Post von Nathan Johns, Search Quality Team (Übersetzung von Claudia)

Dienstag, 8. April 2008 um 14:36

Kommentare:

André hat gesagt…

Die erste Maßnahme sollte jedoch immer sein, seinen eigenen Rechner auf Malware aller Art zu scannen (Virenscanner, AdAware etc. - mehrere verwenden) und dann sofort das FTP-Passwort zu ändern. Oft wird das Passwort über Trojaner vom Rechner des Webmasters ausgelesen und dann dazu verwendet, beispielsweise manipulierte HTML- oder PHP-Seiten regelmäßig mehrmals am Tag hochzuladen.

it-worker hat gesagt…

Nachdem alles wieder hergestellt wurde, empfiehlt es sich, die Website genau im Auge zu behalten, denn wenn eine Seite einmal gehackt wurde, wird die sehr wahrscheinlich wieder gehackt.

Am besten sogar einen Hackalarm-Service nutzen, der einen bei Verdacht auf einen Hackangriff sofort per Email oder SMS informiert: www.hackalarm24.com

Da kann man sogar kostenlos prüfen lassen, ob die Seite im Moment gehackt ist.

Silvan Fülle hat gesagt…

Um Schwachstellen vorzubeugen welche Hacker ausnutzen könnten empfiehlt es sich, eine Software basierte Firewall zu installieren, die den eingehenden Traffic der Website überwacht.

Dies schließt den _POST, _GET bzw. _REQUEST Parameter mit ein. Eine Möglichkeit wäre das NNC-IDS, oder auch Angriff Erkennung System (IDS) der NN-Crew (Aktuell in der Version 1.9) Das System lässt sich selbst durch ein Laien sehr schnell auf den eigenen Server installieren und blockiert nach der Installation alle schädlichen Anfragen an den Server bzw. an die Website.

Das NNC-IDS ist als 14 tägige kostenlose Testversion erhältlich: http://nn-crew.cc/it-sicherheit-penetrationstest/angriffserkennung-system/

Glückwunsch! Du hast Botcoins entdeckt, eine neue Währung für Webmasters! Du kannst Botcoins für tägliche Suchanfragen verwenden, ohne irgendetwas einzutippen! (100 Botcoins = 1 Freisuche). Um deine Botcoins einzulösen, finde einfach einen Mitarbeiter des Google Search Teams in Person, überreiche das Botcoin-Zertifikat und fordere deine Suchanfrage ein. Der Google-Mitarbeiter wird die Suche dann für dich ausführen (keine gesicherte SSL-Verbindung verfügbar, während dieses Dialogs). -- Anmerkung: Der Google-Mitarbeiter könnte dich ignorieren oder lieber auch eine andere Suche ausführen, sofern er oder sie schlechte Laune hat. Und momentan werden keine Mining Möglichkeiten für Botcoins angeboten.