Webseiten Hacks

Webseite gehackt – Wie Sie eine infizierte Webseite bereinigen

Es ist die Schocknachricht schlechthin: «Ihre Webseite wurde gehackt!» Egal, ob Ihnen die schlechte Nachricht überbracht wird oder Sie selbst das Malheur entdecken, der Schrecken ist gross und sofort taucht die Frage auf: «Was mache ich jetzt?».

In Teil 1 unserer Serie erfahren Sie, die Infektion einer Webseite verhindern.

Aber erst kümmern wir uns um Ihre infizierte Webseite.

Webseite gehackt – so gehen Sie vor

1. Nehmen Sie die Webseite vom Netz!

Loggen Sie sich dazu via FTP auf Ihrem Server ein und benennen Sie das betroffene Verzeichnis um (z. B. in *****-infected). Möglicherweise hat dies Ihr Hosting-Anbieter bereits für Sie gemacht. Nun ist die Webseite nicht mehr erreichbar. Laden Sie nun eine einfache HTML-Datei mit Ihren Kontaktdaten hoch und speichern Sie diese als index.html in einem neuen Verzeichnis, das an Stelle des infizierten tritt. Ruft nun jemand Ihre Webseite auf, sieht er nur Ihre Nachricht. Die infizierte Webseite ist zu diesem Zeitpunkt komplett abgeschottet. Jetzt ist es Zeit, durchzuatmen.

Fortgeschrittene richten für die HTML-Übergangsseite den HTTP- Statuscode 503 ein, damit Suchmaschinen das Crawling vorübergehend aussetzen.

2. Schaden erfassen

Verschaffen Sie sich einen Überblick, was passiert ist. Hier kann Ihnen der Hoster helfen (z. B. wenn über Ihre Webseite Spam E-Mails versendet wurden). Ab nun müssen Sie auch wieder auf Ihre Webseite zugreifen können. Richten Sie dazu z. B. eine htaccess-Datei ein, die alle Webseitenbesucher auf die von Ihnen eingerichtete HTML-Seite weiterleitet und nur Ihnen Zugriff erlaubt (mittels IP). Auf dem Server müssen Sie das vorher umbenannte Verzeichnis wieder zugänglich machen.

Nutzen Sie WordPress, installieren Sie am besten ein Plugin, das nach Malware scannen kann, z. B. Wordfence. Einige Hacks ersetzen Ihre Beiträge durch neue mit ungewollten Links – andere Hacks wirken im Hintergrund und verändern die Funktionsweise von WordPress auf unerwünschte Art und Weise. Manche Hacks betreffen nur einzelne Komponente, andere nisten Schadcode an dutzenden Stellen ein. Mit Wordfence oder Sucuri sehen Sie relativ schnell, wo der Schaden liegt.

3. Backup erstellen

Laden Sie eine Kopie der aktuellen Webseite herunter und speichern Sie diese ab. Manchmal kann diese später nützlich sein, wenn Sie den Ursprung des Hacks genauer untersuchen möchten. Vergessen Sie bei WordPress nicht, auch die Datenbank zu sichern.

4. Webseite bereinigen

Es gibt drei Möglichkeiten, Ihre Webseite zu bereinigen. Scannen Sie zuerst Ihre Webseite mit Wordfence. Speichern Sie die Liste der infizierten Dateien. Sind nur wenige Elemente betroffen, reparieren Sie diese (siehe 4.1). Sind viele Elemente betroffen, spielen Sie entweder ein Backup zurück (4.2) oder übergeben Sie die Bereinigung einem Spezialisten (4.3).

Vermeiden Sie es unbedingt, unüberlegt Updates einzuspielen und unkoordiniert infizierte Daten zu löschen. Es kann sein, dass Sie so die Spuren des Hacks verwischen und nie herausfinden, was passiert ist.

4.1 Infizierte El