Montag, 27. Oktober 2008
"Diese Website kann Ihren Computer beschädigen"
Ihre habt diese Meldung vielleicht bereits in unseren Suchergebnissen gesehen - aber was genau verbirgt sich dahinter? Wenn ihr auf den entsprechenden Link klickt, werdet ihr zu einer zusätzlichen Hinweisseite anstatt zur Site aus dem Suchergebnis weitergeleitet. Falls ihr nur den Backblog eurer Großmutter anschauen wolltet, wirkt dies vielleicht etwas verwirrend. Zumal ihr es wohl für unwahrscheinlich haltet, dass sich eure Großmutter insgeheim Fähigkeiten zum Hacken von Computern angeeignet hat. Google muss also einen Fehler gemacht haben und mit der Site eurer Großmutter ist alles in Ordnung...
Ich arbeite in dem Team, das dabei hilft, diese Warnhinweise in unseren Suchergebnissen einzublenden und werde hier versuchen, diesen Sachverhalt etwas näher zu erläutern. Die gute Nachricht ist, dass eure Großmutter immer noch nett und freundlich ist - sie hat nicht vor, ein Botnet zu starten oder Kreditkartennummern zu klauen. Die schlechte Nachricht ist, dass ihre Website oder der Server, auf der die Site gehostet ist, wahrscheinlich eine Sicherheitslücke hat. Diese Sicherheitslücke wurde ausgenutzt, um bösartigen Code in die Site eurer Großmutter einzubauen. Wahrscheinlich handelt es sich dabei um ein unsichtbares Skript oder einen iFrame, der Content einer anderen Site einbindet und jeden Computer angreift, der diese Seite aufruft. Im Falle eines erfolgreichen Angriffs werden dann Viren, Spyware, Key-Logger oder anderes unangenehmes Zeug auf dem betreffenden Computer installiert.
Wenn ihr diesen Warnhinweis bei einer Site in unseren Suchergebnissen seht, ist es meist am besten, den Hinweis ernst zu nehmen. Google verfügt über automatische Scanner, die ständig nach derartigen Websites suchen. Ich helfe dabei, diese Scanner zu entwickeln und bin immer wieder überrascht, wie genau die erzielten Ergebnisse sind. Wenn der Hinweis erscheint, befindet sich mit sehr großer Wahrscheinlichkeit irgendwo auf der betreffenden Site ein Problem, selbst wenn es sich um die Site einer Person handelt, der ihr voll vertraut. Unsere automatischen Scanner treffen unvoreingenommene Einschätzungen, die auf dem bösartigen Content der Seiten basieren und nichts mit der Reputation des jeweiligen Webmasters zu tun haben.
Genau wie eure Computer zu Hause benötigen Server regelmäßig die neuesten Updates. Es gibt zahlreiche Tools, die euch das Erstellen von Websites erleichtern - aber mit jedem Tool steigt das Risiko einer Sicherheitslücke. Selbst wenn ihr immer aufmerksam bleibt und alle Komponenten eurer Site auf dem neuesten Stand haltet, muss dies nicht unbedingt auf euren Webhoster zutreffen. Der Hoster verwaltet den Server eurer Site und hat womöglich nicht die aktuellsten Betriebssystem-Updates installiert. Und solche Probleme treten nicht nur auf den Sites unschuldiger Großmütter auf - wir hatten bereits solche Warnhinweise auf Sites von Banken, Sportvereinen oder auch auf Sites von Firmen und staatlichen Einrichtungen.
Oh nein... Ich brauche Hilfe!
Nachdem ihr nun wisst, was die Warnhinweise in unseren Suchergebnissen zu bedeuten haben, bleibt die Frage, was ihr tun könnt, falls unsere Scanner Malware auf eurer Site gefunden haben.
Es gibt zahlreiche Informationen, die euch dabei helfen, die Dinge wieder in Ordnung zu bringen. Auf unserem Webmasterblog stellen wir einige Tipps zur Verfügung und halten eine Checkliste für Webmaster bereit.
Bei Stopbadware.org könnt ihr viele hilfreiche Informationen finden, ebenso wie in deren Forum , wo zahlreiche hilfsbereite Freiwillige gerne passende Auskünfte geben (manchmal trefft ihr mich dort auch an). Ihr könnt euch unsere "Safe Browsing"-Diagnoseseite anschauen (https://www.google.com/safebrowsing/diagnostic?site=<adresse-eurer-site>) , um genauere Informationen darüber zu erhalten, was unsere automatischen Scanner auf eurer Site gefunden haben. Falls etwas gefunden wurde, zeigen unsere Webmaster-Tools an, welche URLs gescannt wurden und welche als infiziert eingestuft worden sind.
Sobald ihr den bösartigen Code aus eurer Site entfernt habt, könnt ihr die Webmaster-Tools nutzen, um eine erneute Überprüfung zu beantragen. Unsere automatischen Systeme werden daraufhin eure Site erneut scannen und den Warnhinweis aus unseren Suchergebnissen entfernen, falls keine Malware mehr entdeckt wurde.
Rechtzeitige Warnung
Ich höre oft von Webmastern, die sich bei Google nach der Möglichkeit erkundigen, eine entsprechende Warnung zu bekommen, bevor der Malware-Warnhinweis in den Suchergebnissen eingeblendet wird. Wenn der Hinweis erscheint, senden wir normalerweise eine E-Mail an den Betreiber der Site und geben einen entsprechenden Hinweis im Webmaster-Tools-Konto des Seitenbetreibers. Es gibt aber keine Warnung im Vorfeld - bevor der Warnhinweis erscheint. Webmaster können demnach die Site nicht bereinigen, bevor der Warnhinweis in den Suchergebnissen erscheint.
Schauen wir uns die Sache jedoch einmal aus der Sicht einer Users an. Als User würde es mich ziemlich stören, wenn mich Google über ein Suchergebnis zu einer bösartigen Site leiten würde, obwohl diese bereits als bösartig identifiziert wurde. Selbst eine geringe Verzögerung zwischen Erkennung von Schadsoftware und Einblendung des Warnhinweises würde einige User einem unnötigen Risiko aussetzen - was eigentlich nicht gerechtfertigt erscheint. Ich weiß, dass es für Webmaster mitunter frustrierend ist, den Warnhinweis zu den Suchergebnissen ihrer Site eingeblendet zu sehen. Letztendlich bin ich jedoch der Meinung, dass der Schutz der User vor Malware das Internet sicherer macht, wovon schließlich sowohl User als auch Webmaster profitieren.
In unseren Webmaster-Tools haben wir neulich einen Test gestartet, um Webmaster zu informieren , falls wir festgestellt haben, dass ihre Serversoftware Sicherheitslücken aufweist. Wenn ihr auf einen derartigen Hinweis reagiert und eure Serversoftware aktualisiert, kann damit verhindert werden, dass Schadsoftware auf euren Server gelangt. Niemals Malware auf der eigenen Site zuzulassen ist der beste Weg, um unsere Warnhinweise zu vermeiden!
Überprüfungen
Ihr könnt eine erneute Überprüfung über die Webmaster-Tools beantragen und dort auch den Status des jeweiligen Antrags erkennen. Falls ihr glaubt, eine Überprüfung dauert zu lang, solltet ihr den jeweiligen Status in den Webmaster-Tools überprüfen. Die Überprüfung einer Site auf Malware ist nicht ganz einfach und die automatisierten Scanner sind deutlich genauer als eine Überprüfung durch Menschenhand. Die Scanner können demnach etwas entdeckt haben, das ihr bei eurer Prüfung übersehen habt, was z. B. der Grund dafür sein kann, dass eine erneute Überprüfung fehlgeschlagen ist. Falls bei eurer Site der Warnhinweis zu Malware angezeigt wird, könnt ihr in den Webmaster-Tools auch einige Beispiel-URLs finden, die wir als problematisch erkannt haben. Diese Liste beinhaltet nicht alle schadhaften URLs (da diese sonst oftmals sehr, sehr lang würde), aber sie sollte ein guter Ausgangspunkt für eure weiteren Schritte dienen.
Außerdem solltet ihr eine erneute Überprüfung bei Malware nicht mit einem Antrag auf Wiederaufnahme verwechseln. Wenn unsere automatisierten Scanner Malware auf eurer Site finden, wird die Site in der Regel nicht aus unseren Suchergebnissen entfernt. Für die Entfernung von Spam-Sites aus den Suchergebnissen sind andere Prozesse verantwortlich. Falls dies passiert sein sollte und ihr der Entfernung widersprecht, solltet ihr einen Antrag auf Wiederaufnahme stellen. Falls eure Site aber nur den Warnhinweis zu Malware in den Suchergebnissen anzeigt, wird euch ein Antrag auf Wiederaufnahme nicht weiterhelfen - in diesem Fall solltet ihr einen Antrag auf erneute Überprüfung einreichen, was ihr direkt von der Übersichtsseite der Webmaster-Tools aus tun könnt.
Wie lange wird die erneute Überprüfung dauern?
Als Webmaster wollt ihr natürlich den Warnhinweis zu Malware so schnell wie möglich aus den Suchergebnissen zu eurer Site entfernt sehen - deshalb bekommen wir viele Fragen zur Dauer dieses Prozesses. Sowohl der ursprüngliche Scanvorgang als auch das Scannen in Folge eines Antrags auf erneute Überprüfung laufen vollkommen automatisiert ab. Diese Systeme analysieren weite Teile des Internets - was bekanntermaßen ziemlich groß ist - weshalb die erneute Überprüfung ggf. nicht sofort stattfindet. Im Idealfall wird der Warnhinweis innerhalb einiger Stunden entfernt. In ungünstigen Fällen kann es auch mal einen Tag oder etwas länger dauern.
Malware? We don't need no stinking Malware! (English version)
Post von Oliver Fisher, Software Ingenieur, Anti-Malware Team (Übersetzung von Sven, Search Quality)
Ihre habt diese Meldung vielleicht bereits in unseren Suchergebnissen gesehen - aber was genau verbirgt sich dahinter? Wenn ihr auf den entsprechenden Link klickt, werdet ihr zu einer zusätzlichen Hinweisseite anstatt zur Site aus dem Suchergebnis weitergeleitet. Falls ihr nur den Backblog eurer Großmutter anschauen wolltet, wirkt dies vielleicht etwas verwirrend. Zumal ihr es wohl für unwahrscheinlich haltet, dass sich eure Großmutter insgeheim Fähigkeiten zum Hacken von Computern angeeignet hat. Google muss also einen Fehler gemacht haben und mit der Site eurer Großmutter ist alles in Ordnung...
Ich arbeite in dem Team, das dabei hilft, diese Warnhinweise in unseren Suchergebnissen einzublenden und werde hier versuchen, diesen Sachverhalt etwas näher zu erläutern. Die gute Nachricht ist, dass eure Großmutter immer noch nett und freundlich ist - sie hat nicht vor, ein Botnet zu starten oder Kreditkartennummern zu klauen. Die schlechte Nachricht ist, dass ihre Website oder der Server, auf der die Site gehostet ist, wahrscheinlich eine Sicherheitslücke hat. Diese Sicherheitslücke wurde ausgenutzt, um bösartigen Code in die Site eurer Großmutter einzubauen. Wahrscheinlich handelt es sich dabei um ein unsichtbares Skript oder einen iFrame, der Content einer anderen Site einbindet und jeden Computer angreift, der diese Seite aufruft. Im Falle eines erfolgreichen Angriffs werden dann Viren, Spyware, Key-Logger oder anderes unangenehmes Zeug auf dem betreffenden Computer installiert.
Wenn ihr diesen Warnhinweis bei einer Site in unseren Suchergebnissen seht, ist es meist am besten, den Hinweis ernst zu nehmen. Google verfügt über automatische Scanner, die ständig nach derartigen Websites suchen. Ich helfe dabei, diese Scanner zu entwickeln und bin immer wieder überrascht, wie genau die erzielten Ergebnisse sind. Wenn der Hinweis erscheint, befindet sich mit sehr großer Wahrscheinlichkeit irgendwo auf der betreffenden Site ein Problem, selbst wenn es sich um die Site einer Person handelt, der ihr voll vertraut. Unsere automatischen Scanner treffen unvoreingenommene Einschätzungen, die auf dem bösartigen Content der Seiten basieren und nichts mit der Reputation des jeweiligen Webmasters zu tun haben.
Genau wie eure Computer zu Hause benötigen Server regelmäßig die neuesten Updates. Es gibt zahlreiche Tools, die euch das Erstellen von Websites erleichtern - aber mit jedem Tool steigt das Risiko einer Sicherheitslücke. Selbst wenn ihr immer aufmerksam bleibt und alle Komponenten eurer Site auf dem neuesten Stand haltet, muss dies nicht unbedingt auf euren Webhoster zutreffen. Der Hoster verwaltet den Server eurer Site und hat womöglich nicht die aktuellsten Betriebssystem-Updates installiert. Und solche Probleme treten nicht nur auf den Sites unschuldiger Großmütter auf - wir hatten bereits solche Warnhinweise auf Sites von Banken, Sportvereinen oder auch auf Sites von Firmen und staatlichen Einrichtungen.
Oh nein... Ich brauche Hilfe!
Nachdem ihr nun wisst, was die Warnhinweise in unseren Suchergebnissen zu bedeuten haben, bleibt die Frage, was ihr tun könnt, falls unsere Scanner Malware auf eurer Site gefunden haben.
Es gibt zahlreiche Informationen, die euch dabei helfen, die Dinge wieder in Ordnung zu bringen. Auf unserem Webmasterblog stellen wir einige Tipps zur Verfügung und halten eine Checkliste für Webmaster bereit.
Bei Stopbadware.org könnt ihr viele hilfreiche Informationen finden, ebenso wie in deren Forum , wo zahlreiche hilfsbereite Freiwillige gerne passende Auskünfte geben (manchmal trefft ihr mich dort auch an). Ihr könnt euch unsere "Safe Browsing"-Diagnoseseite anschauen (https://www.google.com/safebrowsing/diagnostic?site=<adresse-eurer-site>) , um genauere Informationen darüber zu erhalten, was unsere automatischen Scanner auf eurer Site gefunden haben. Falls etwas gefunden wurde, zeigen unsere Webmaster-Tools an, welche URLs gescannt wurden und welche als infiziert eingestuft worden sind.
Sobald ihr den bösartigen Code aus eurer Site entfernt habt, könnt ihr die Webmaster-Tools nutzen, um eine erneute Überprüfung zu beantragen. Unsere automatischen Systeme werden daraufhin eure Site erneut scannen und den Warnhinweis aus unseren Suchergebnissen entfernen, falls keine Malware mehr entdeckt wurde.
Rechtzeitige Warnung
Ich höre oft von Webmastern, die sich bei Google nach der Möglichkeit erkundigen, eine entsprechende Warnung zu bekommen, bevor der Malware-Warnhinweis in den Suchergebnissen eingeblendet wird. Wenn der Hinweis erscheint, senden wir normalerweise eine E-Mail an den Betreiber der Site und geben einen entsprechenden Hinweis im Webmaster-Tools-Konto des Seitenbetreibers. Es gibt aber keine Warnung im Vorfeld - bevor der Warnhinweis erscheint. Webmaster können demnach die Site nicht bereinigen, bevor der Warnhinweis in den Suchergebnissen erscheint.
Schauen wir uns die Sache jedoch einmal aus der Sicht einer Users an. Als User würde es mich ziemlich stören, wenn mich Google über ein Suchergebnis zu einer bösartigen Site leiten würde, obwohl diese bereits als bösartig identifiziert wurde. Selbst eine geringe Verzögerung zwischen Erkennung von Schadsoftware und Einblendung des Warnhinweises würde einige User einem unnötigen Risiko aussetzen - was eigentlich nicht gerechtfertigt erscheint. Ich weiß, dass es für Webmaster mitunter frustrierend ist, den Warnhinweis zu den Suchergebnissen ihrer Site eingeblendet zu sehen. Letztendlich bin ich jedoch der Meinung, dass der Schutz der User vor Malware das Internet sicherer macht, wovon schließlich sowohl User als auch Webmaster profitieren.
In unseren Webmaster-Tools haben wir neulich einen Test gestartet, um Webmaster zu informieren , falls wir festgestellt haben, dass ihre Serversoftware Sicherheitslücken aufweist. Wenn ihr auf einen derartigen Hinweis reagiert und eure Serversoftware aktualisiert, kann damit verhindert werden, dass Schadsoftware auf euren Server gelangt. Niemals Malware auf der eigenen Site zuzulassen ist der beste Weg, um unsere Warnhinweise zu vermeiden!
Überprüfungen
Ihr könnt eine erneute Überprüfung über die Webmaster-Tools beantragen und dort auch den Status des jeweiligen Antrags erkennen. Falls ihr glaubt, eine Überprüfung dauert zu lang, solltet ihr den jeweiligen Status in den Webmaster-Tools überprüfen. Die Überprüfung einer Site auf Malware ist nicht ganz einfach und die automatisierten Scanner sind deutlich genauer als eine Überprüfung durch Menschenhand. Die Scanner können demnach etwas entdeckt haben, das ihr bei eurer Prüfung übersehen habt, was z. B. der Grund dafür sein kann, dass eine erneute Überprüfung fehlgeschlagen ist. Falls bei eurer Site der Warnhinweis zu Malware angezeigt wird, könnt ihr in den Webmaster-Tools auch einige Beispiel-URLs finden, die wir als problematisch erkannt haben. Diese Liste beinhaltet nicht alle schadhaften URLs (da diese sonst oftmals sehr, sehr lang würde), aber sie sollte ein guter Ausgangspunkt für eure weiteren Schritte dienen.
Außerdem solltet ihr eine erneute Überprüfung bei Malware nicht mit einem Antrag auf Wiederaufnahme verwechseln. Wenn unsere automatisierten Scanner Malware auf eurer Site finden, wird die Site in der Regel nicht aus unseren Suchergebnissen entfernt. Für die Entfernung von Spam-Sites aus den Suchergebnissen sind andere Prozesse verantwortlich. Falls dies passiert sein sollte und ihr der Entfernung widersprecht, solltet ihr einen Antrag auf Wiederaufnahme stellen. Falls eure Site aber nur den Warnhinweis zu Malware in den Suchergebnissen anzeigt, wird euch ein Antrag auf Wiederaufnahme nicht weiterhelfen - in diesem Fall solltet ihr einen Antrag auf erneute Überprüfung einreichen, was ihr direkt von der Übersichtsseite der Webmaster-Tools aus tun könnt.
Wie lange wird die erneute Überprüfung dauern?
Als Webmaster wollt ihr natürlich den Warnhinweis zu Malware so schnell wie möglich aus den Suchergebnissen zu eurer Site entfernt sehen - deshalb bekommen wir viele Fragen zur Dauer dieses Prozesses. Sowohl der ursprüngliche Scanvorgang als auch das Scannen in Folge eines Antrags auf erneute Überprüfung laufen vollkommen automatisiert ab. Diese Systeme analysieren weite Teile des Internets - was bekanntermaßen ziemlich groß ist - weshalb die erneute Überprüfung ggf. nicht sofort stattfindet. Im Idealfall wird der Warnhinweis innerhalb einiger Stunden entfernt. In ungünstigen Fällen kann es auch mal einen Tag oder etwas länger dauern.
Malware? We don't need no stinking Malware! (English version)
Post von Oliver Fisher, Software Ingenieur, Anti-Malware Team (Übersetzung von Sven, Search Quality)