Website gehackt, was jetzt?

Über Sicherheitslücken im CMS (z.B. WordPress oder Joomla) oder deren Plugins/Themes kann Malware, Schadcode oder ein Virus auf Eurer Website eingeschleust werden. Es kommt auch vor das ein FTP-Passwort gehackt wird (meist über Trojaner auf Eurem eigenen PC). In diesem Artikel möchte ich Euch erklären, wie Ihr in so einem Fall vorgehen könnt und verhindert, dass Eure Seite erneut gehackt wird.

Was kann dadurch passieren?

Es wird Malware auf den Geräten Eurer Webseitenbesucher installiert oder Phishing/Spamvertised Content (http://en.wikipedia.org/wiki/Spamvertising) auf Eurer Website gehostet. Eure Website kann dadurch auch zum Spamversand oder um Angriffe auf andere Server von Eurer Seite zu starten (z.B. DOS, Brute Force) missbraucht werden.

Malware finden

Ich habe Euch eine Linksliste mit CMS-Plugins und Programmen zur Erkennung von Malware zusammengestellt.

Auf der Suche nach Schadcode

Einen Universal-Tipp zur Beseitigung von Schadcode kann ich Euch leider nicht geben, da dies immer sehr unterschiedlich sein kann.

Schadcode-Beispiel
Beispiel von einem Schadcode-Muster.

Da Angreifer immer versuchen Schadcode zu verschleiern, könnt Ihr diesen gerade dadurch gut erkennen. Bevorzugt werden Viren oder Schadcode in den „index“ Dateien eingefügt. Achtet im Code auf Muster die „base64, eval oder iframe“ enthalten. Es muss sich dabei aber nicht zwangsläufig um einen Schadcode handeln. Teilweise werden auch .htaccess-Dateien manipuliert, um auf andere Websites weiterzuleiten.

Viren hinterlassen häufig Kommentare, wie z.B. #f4343 nach denen Ihr suchen könnt.

Habt Ihr Schadcode auf Eurer Website, sollte der erste Schritt die Seite Offline zu stellen sein. So sind die Besucher Eurer Seite davor geschützt. Alternativ könnt Ihr eine Weiterleitung auf eine andere Seite einrichten.

Tipp für checkdomain-Kunden:
Um die Seite Offline zu stellen reicht es, dass Hauptverzeichnis der Domain zu ändern (Webhosting -> Paketdomains verwalten) und nach dem Entfernen des Schadcodes wieder auf den Ursprung zu ändern.

Hintertüren schließen

Auf jeden Fall solltet Ihr Euer FTP-Passwort ändern. Ändern ggf. auch noch Eure anderen Passwörter für E-Mails oder den Kunden-Login, wenn Ihr Zweifel habt.

Scannt alle Computer, die sich per FTP verbunden haben auf Viren und installiert diese ggf. neu. Eine Neuinstallation eines PC´s ist  zwar mit viel Aufwand verbunden, aber wenn Viren auf dem Pc sind lassen sich diese meistens nur schwer restlos entfernen. Es kann sein, dass Ihr innerhalb kurzer Zeit wieder vor dem gleichen Problem steht.

Aktualisiert Euer CMS und alle darin enthaltenen Plugins/Themes. Wenn Ihr dabei feststellt, dass Plugins/Themes veraltet sind und nicht mehr weiterentwickelt werden, löscht diese möglichst und schaut euch nach einer Alternative um. Simon hat dafür einen Artikel speziell zur WordPress Sicherheit verfasst.

Kommt Ihr alleine gar nicht mehr weiter, empfiehlt es sich einen Experten mit der Entfernung des Schadcodes und dem Schließen einer Sicherheitslücke zu beauftragen.

checkdomain bietet diese Dienstleistung nicht an!

Google Safe Browsing

Eine, eventuell auf Eurer Seite, vorhandene Warnung von Google Safe Browsing, könnt Ihr über die Google Webmaster Tools wieder entfernen.

https://support.google.com/webmasters/answer/163634

Wie Ihr Eure Seite bei den Google Webmaster Tools anmeldet, erfahrt ihr hier.

Sicherer in die Zukunft

schadcode-sicherheit

Einen 100%igen Schutz gibt es nicht, aber Ihr könnt das Risiko minimieren in dem Ihr Euer CMS und dessen Plugins immer aktuell haltet. Das Gleiche gilt für Euren PC und die darauf installierte Software (Windows Update, Java, Viren-Software etc.).

Für Euer CMS solltet Ihr den Newsletter des Herstellers abonnieren, so erfahrt Ihr immer, wenn es Sicherheitslücken gibt oder Updates vorhanden sind, um diese zu schließen.

Allgemein gilt immer, dass Ihr sichere Passwörter verwenden solltet. Groß-Kleinschreibung, Zahlen, Sonderzeichen. Passwörter wie z.B. Vorname123 sind nicht sicher, werden aber immer wieder verwendet.

Habt Ihr Passwörter an einen Webdesigner weitergegeben, ändert diese wieder, wenn die Zusammenarbeit bezüglich Eurer Seite beendet ist!

Abschließend bleibt nur noch zu erwähnen, dass Ihr am besten verschlüsseltes FTP verwenden solltet (ftpes – explizite Verschlüsselung). Legt euch außerdem E-Mail-Adresse mit webmaster@ oder info@ an. Google schreibt z.B. an diese Adressen, um über eine Sperrung Eurer Seite zu informieren.

Tipp für Euch:
Eine Hilfe, wie Ihr eine ftpes-Verbindung einrichtet, findet Ihr in unseren Anleitungen zur Einrichtung von FTP-Programmen.

Ich hoffe der Artikel hilft Euch, solche Probleme in den Griff zu bekommen. Wir informieren Euch übrigens per E-Mail, wenn wir feststellen, dass Schadcode, Malware oder ein Virus auf Eure Seite eingeschleust wurde.

VN:F [1.9.22_1171]
Rating: 1.9/5 (9 votes cast)
Website gehackt, was jetzt?, 1.9 out of 5 based on 9 ratings

12 Gedanken zu „Website gehackt, was jetzt?

  1. Meine Seite bei Wircon / wint.global wurde auch angegriffen. Einmal wurde über mich anscheinend Spam versendet und der Server gehackt. Dann war Ruhe.
    Nun ist die Seite komplett weg samt Drupalinstallation und vollkommen andere Inhalte drauf. Ich habe aber keine FTP Passwort gespeichert, weil ich das nicht nutze.
    Habe die Seite natürlich offline genommen.
    Das blöde ist, dass die Sicherungen auf dem Server bei wircon auch weg sind, die man sich anfertigen kann. Ich hatte das vor einiger Zeit bemerkt und nachgefragt, aber sie sind halt „weg“. Jetzt ist offensichtlich alles weg.
    Auch die Sicherungen mit PLESK.
    Kann mir jemand sagen, worauf das hindeutet, wenn das Drupal gelöscht und statt dessen andere Sachen online sind? Offenbar doch, dass die Zugang zum Server haben oder? Aber wie? Durch das Drupal? Das manuelle Zugangspasswort wurde ebenfalls zig mal schon geändert und der Rechner ist auch nicht mehr derselbe…
    Irgendwelche Hinweise und Ideen?
    Ach so und es war ein nigerianischer Hacker, wie auf dem Hackinhalt zu lesen war (Auszug):
    Hacked by Deccal.Org „You have to obey Nigerian Nation and believe to Islam Religion“
    Tested your web by Walex

  2. Zu Michael 9. Februar 2017 um 00:23,

    ich weiß wer für den „hack“ verantwortlich war und durch welches offene Scheunentor man bei dir eindringen konnte.
    Zum einem kam der Hack durch ein Warez Board zum anderem wurde über MySqlDumper eingedrungen.

  3. Hallo,

    unser Magento Shop ist gehackt worden. Wir bieten Drohnen und RC Spielzeuge an. Nachdem ein IT Forensiker unser Onlineshop nach dem Hacking Angriff wieder repariert hat, fragte ich mich wie wir dies in Zukunft verhindern können. Die Aktion kostete uns 2900 EUR und ich weiß nicht ob wir Kundendaten verloren haben? Wahrscheinlich ist es.

    Auf meiner Suche habe ich 2 Angebote gefunden. Eines aus Deutschland und eines aus den USA. Kann mir jemand sagen was man von diesen Angeboten halten kann und für welches sollte ich mich entscheiden?

    Nr. 1 Deutschland
    https://janotta-partner.de/projekt-defense.html
    Nr. 2 USA:
    https://sucuri.net/website-firewall/signup

    Freue mich auf Meinungen…
    Gruß Michael

    1. Hallo Michael,

      ich kann dir Sucuri empfehlen. Janotta-Partner ist mir persönlich nicht bekannt, daher kann ich dazu nichts sagen.

      Gruß Arne

    2. Hallo Michael,

      Mir hat Janotta und Partner letztes Jahr geholfen. Bei der Auswahl des richtigen Anbieters, empfehle ich ein Blick in die Referenzen.Desweiteren hast du bei einem Deutschen Dienstleister immer Deutscher Recht, in den USA ist ein Anbieter nicht greifbar,….

      Wenn Du deine Daten einen Anbieter in den USA übergibst, wer weiss was damit passiert …

      Das ist aber meine private Meinung, deshalb hoste ich auch bei checkdomain und bei anderen Deutschen anbietern und nicht in Frankreich :-)

  4. Bei mir ist es leider passiert,
    Erste Maßnahmen, ich habe ein neues Theme installiert, eine neue Seite erstellt. Bei mir waren alle Seiten gelöscht. Nur die Artikel nicht. Danach geht es an die anderen Aufgaben. Der Hacker wird sich zeigen.

  5. Ja, ein Backup ist sicherlich hilfreich, wenn man denn weiß, wann der Hack entstanden ist.

    Wir hatten auch den oben beschriebenen Hack-Fall. Als erstes haben wir das Webmaster Tool ausgewertet und das war auch schon die Lösung: es wurde Unterseiten mit Spam und Malware angelegt.

    Diese Seiten haben wir dann entfernt und alle Passworte, sowohl für das CMS wie auch FTP und Co. geändert. Das wars. Aber es so ein Webseiten-Hack kann auch deutlich umfangreicher und schwieriger lokalisierbar sein.
    Beste Grüße!

    Andreas

  6. Danke für Artikel. Mir ist das selbe passiert. Plötzlich war meine Webseite gehackt. Ich habe hier von einer Sicherheitsfirma ein Werkzeug gefunden das kostenlos ist und sicher dem einen oder anderem Helfen wird.

    Mit hat es geholfen.

    https://www.dotcomsecurity.de/wordpress-antihacking/

    1. die Seite ist umgezogen.
      https://janotta-partner.de/freetools.html
      Man erhält dort aber im Notfall auch gute Hilfe

  7. An den Punkt „Schadecode finden“ wollte ich mit meinem recht technischen Artikel anknüpfen:
    https://www.damianschwyrz.de/php-backdoors-und-shells-finden-eine-kurze-anleitung/

    Viele haben keine andere Wahl, als entweder alles neu zu machen oder es machen zu lassen – ich erlebe aktuell oft, dass auch monatealte Backups einfach bereits infiziert sind. Da muss man sehr vorsichtig sein.

    Für alle, die es interessiert: Ich brauche für das säubern einer WordPress-Instanz durchschnittlich 4-6 Std – das ist dann aber mehr als gründlich. Je nach Größer einer Seite kann das aber auch weniger oder deutlich mehr sein!

    Viele Grüße

    Damian

  8. Danke für die hilfreichen Infos, was mir jedoch noch fehlt ist, wie komme ich in meine Webseite wenn der Zugriff komplett verwehrt wird (also über domain.de/wp-admin)?

    Die Seite ist über das 1-Klick WPsystem von Hostgator eingerichtet worden, also nicht über FTP etc. Lohnt sich, die Seite über kostenpflichtige Dienste säubern und reparieren zu lassen, wenn man wie ich a. keine Ahnung und b. keine oder nur wenig Zeit hat? Danke für weitere Info und schnelle Hilfe!

    1. Hallo Christian,

      grundsätzlich ist es am einfachsten ein Backup aufzuspielen, von einem Zeitpunkt, zu dem das Problem noch nicht vorhanden war.
      Ob sich da ein kostenpflichtiger Dienst lohnt, lässt sich schwer sagen, da es je nach schwere des Falles sehr aufwendig sein kann,
      Schadcode manuell zu entfernen, wenn kein Backup vorhanden ist.

      Um ggf.einzelne Dateien zu kontrollieren, bietet sich virustotal.com an.

      Gruß Arne

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.