Was tun, wenn ein Virus/Schadcode festgestellt wurde?

Da eine Beseitigung von Schadcode sehr unterschiedlich sein kann, können wir hier nur allgemeine Hinweise geben.

- Solange der Schadcode nicht komplett entfernt ist, sollten Sie die Seite offline stellen, um Ihre Kunden/Besucher zu schützen.
Am besten übergangsweise auf einen anderen leeren Ordner zeigen lassen. Weitere Möglichkeiten sind z.B. per .htaccess
oder Domainweiterleitung auf eine andere Domain zu verweisen.

- FTP-Passwort ändern. Das FTP Passwort auf gar keinen Fall mehr im FTP Client speichern.
Gegebenenfalls auch andere Passwörter (z.B. E-Mail oder checkdomain Passwort) ändern,
wenn Zweifel bestehen.

- Alle Computer, die sich per FTP verbunden haben, auf Viren kontrollieren oder ggf. neu installieren.
Ob Sie ihren PC neu installieren liegt natürlich in Ihren Ermessen. Wenn sich allerdings Viren auf dem PC befinden,
ist es häufig schwer diese komplett zu entfernen. Nicht selten hat man nach einer kurzer Zeit ähnliche Probleme.


- CMS (Software wie Wordpress oder Joomla) und Plugins aktualisieren. Eventuell veraltete Software,
welche nicht mehr aktualisiert wird, deinstallieren.

- Logs anfordern (FTP), um Auffälligkeiten aufzuspüren. (Logfiles des Webhosting-Paketes einsehen)
(Mit der IP lässt sich später meist wenig anfangen, da die meisten Verbindungen aus dem Ausland kommen
und es sich bei den Rechnern auch um gekaperte PCs handelt.)

- Dateien auf Schadcode kontrollieren und entfernen.

Das ist sehr mühsam, aber häufig hinterlassen die Viren auch Kommentare, wie beispielsweise #f4343, danach kann
entsprechend gesucht werden. Schadcode wird vorzugsweise an index.php oder index.html Dateien gehängt.

.htaccess Dateien werden manipuliert um auf andere Webseiten umzuleiten.

Die Angreifer versuchen den Schadcode zu verschleiern und dadurch ist dieser gerade gut zu erkennen.
Das könnte z.B. so aussehen:

Weitere verdächtige Muster sind „base64“, „eval“ oder „iframe“, dabei muss es sich aber nicht zwangsläufig
um Schadcode handeln.

- Um einzelne Dateien zu kontrollieren, bietet sich virustotal.com an.

- Alles zu löschen und eine komplette Neuinstallation zu vollziehen, ist der sicherste Weg, aber nicht immer nötig/möglich.

- Falls vorhanden, kann auch das Einspielen eines Backups einem viel Arbeit abnehmen. Das Backup muss
natürlich angelegt worden sein, als der Webspace noch nicht infiziert war. Checkdomain-Backup-System

- Den Schadcode komplett zu entfernen oder eine CMS Sicherheitslücke zu schließen ist nicht immer einfach.
Möchte man nicht alles löschen und die Seite neu aufbauen, empfiehlt es sich gegebenenfalls, einen externen
Experten zu beauftragen oder in Antivirenforen nachzufragen/sich zu informieren.
(Checkdomain bietet diese Dienstleistung nicht an!)


- Eine Google Safe Browsing Warnung lässt sich am einfachsten über die Google Webmaster Tools entfernen
(http://support.google.com/webmasters/bin/answer.py?hl=de&hlrm=en&answer=163634)