Was tun bei Malware?

Mittwoch, 18. Januar 2012

Wir haben heute ein interessantes Thema für euch: Matt Cutts spricht über Malware, und was man tun kann, wenn die eigene Website betroffen ist.




Vielleicht seid ihr verärgert oder frustriert, wenn ihr dieses Video seht. Das tut mir leid. Heute geht es um Malware und gehackte Websites . Ihr glaubt gar nicht, wie oft so etwas vorkommt! Sogar die Website von Donald Trump wurde gehackt. Ebenso die Website von Al Gore. Das kann passieren. Aber bitte zeigt euren Nutzern keine Malware. Es gibt kostenlose Tools und Ressourcen von Google sowie Hilfsmittel im Web, die euch beim Aufräumen helfen.

Zunächst zur Diagnoseseite "Safe Browsing". Wenn ihr nach " Safe Browsing Diagnoseseite " sucht, findet ihr die notwendigen Infos, um auf die Seite zuzugreifen. Dann könnt ihr herausfinden, ob diese URL oder Website mit Malware infiziert ist.

Hier ein Beispiel: google.com/safebrowsing/diagnostic?site=mattcutts.com . Ersetzt einfach [mattcutts.com] durch eine andere Website, um zu sehen, ob diese von Malware betroffen ist. Auch Statistikdaten zu Malware auf der Domain werden angezeigt.

Wie das Ganze funktioniert, ist ziemlich interessant. Bei einer Suche nach "Ghost in the Browser" (so heißt das auf Englisch), findet ihr jede Menge Infos dazu . Und die bringen wirklich genaue Ergebnisse. In den letzten 5 Jahren habe ich keinen einzigen Fehler gesehen. Mit einer Ausnahme: Da haben wir alles im Web für etwa eine Stunde als Malware markiert. Aber das war eine andere Panne.

Für die Diagnoseseite "Safe Browsing" werden die Daten des Malware-Teams herangezogen. Man muss aber klar zwischen Malware- und Webspam-Team unterscheiden, obwohl wir uns sehr respektieren. Das Malware-Team konzentriert sich hauptsächlich auf mögliche Malware und Virenscanner, um Webseiten zu finden, die eventuell mit Malware infiziert sind.

Also, auf dieser Seite gebt ihr euren Domain-Namen ein, im Format "example.com". Ihr bekommt alle Statistiken dazu. Seht euch die Informationen genau an. Manchmal ist die Domain tatsächlich infiziert. Oder es stellt sich heraus, dass es nicht eure Domain, sondern die Domain eines Drittanbieters erwischt hat. Wenn ihr Anzeigen oder Skripts verwendet, JavaScript oder irgendwelche Inhalte von anderen Domains für eure Website übernommen habt, könnt Ihr einiges an Informationen dazu finden. Entweder entfernt ihr dann die Inhalte des Drittanbieters oder ladet sie einfach nicht mehr. Somit wird auf eurer Website keine Malware mehr angezeigt. Kurz danach verschwindet die Warnung. Die Diagnoseseite "Safe Browsing" ist wirklich nützlich.

Den zweiten Punkt, den ich erwähnen möchte, ist die Möglichkeit einer Malware-Überprüfung. Registriert eure Website bei den Google Webmaster-Tools, unter google.de/webmasters . Identifiziert euch einfach als Inhaber der Website und klickt auf die Seite "Diagnose". Dort gibt es den Tab "Malware". Nachdem ihr aufgeräumt habt, beantragt ihr eine Überprüfung. Die Überprüfung wird nicht in Echtzeit durchgeführt, sondern dauert in der Regel ein paar Stunden, also nicht allzu lange. Wer gestresst ist, weil die Website gehackt wurde und Malware verteilt wird, will nicht unbedingt tagelang auf eine Lösung warten. Es kann also ein paar Stunden dauern, aber prinzipiell geht es relativ schnell. Das Ergebnis der Überprüfung zeigt die URLs auf eurer Website, die vermutlich mit Malware infiziert sind. Damit erfahrt ihr genau,wo ihr Hilfe zur Diagnose bekommt, wie ihr die Fehler suchen und beheben könnt.

Wenn aus irgendeinem Grund trotzdem noch Malware vorhanden zu sein scheint, geben wir euch weitere Beispiele von URLs, die wahrscheinlich noch infiziert sind. So könnt ihr relativ schnell aufräumen und Malware entfernen.

Es gibt noch ein drittes empfehlenswertes Tool. Es ist eher auf gehackte Seiten als auf Malware ausgerichtet und heißt " Abruf wie durch Googlebot ". "Abruf wie durch Googlebot" ist eine weitere Funktion der Google Webmaster-Tools unter google.de/webmasters . Ihr nehmt eine bestimmte Seite, für die ihr zuständig seid oder deren Inhaber ihr seid, und klickt auf "Abruf wie durch Googlebot". Der Googlebot ruft den Inhalt dieser Seite ab. Ihr seht genau, was dem Googlebot zurück gegeben wurde, zum Beispiel eine 301-Weiterleitung. Ihr seht den Inhalt und könnt ihn auf Hackerangriffe und Malware prüfen. Das kann sehr hilfreich sein. Der Googlebot sieht auf einigen Seiten den gehackten Inhalt, den man als normaler Nutzer nicht sehen kann. Das ist ein gemeiner Trick.

Es gibt einige Stellen, an denen ihr suchen könnt. Oft verstecken sich die Details zum Beispiel in .htaccess-Dateien. Möglicherweise findet ihr dort das gesuchte Element. SQL-Injektionen sind auch ein heißer Tipp. Falls ihr zum Beispiel eure URL-Parameter oder die URL-Eingabe nicht richtig unter Kontrolle habt, können Tabellen, oder Malware usw.eingeschleust werden. Darauf solltet ihr definitiv achten. Verliert nicht die Geduld, wenn ihr das Problem nicht auf Anhieb findet.

Schaut nicht nur auf eure Quelldateien. Der Quellcode kann scheinbar vollkommen in Ordnung sein. Wichtig ist, was im Browser angezeigt wird. Der Abruf wie durch Googlebot zeigt, was die Nutzer sehen. Häufig findet ihr in eurem Quellcode keinen Hinweis auf die Infizierung. Egal, ob es sich um Mod Rewrite, .htaccess oder ähnliches handelt –man sieht die Malware erst, wenn man als Endnutzer zugreift. Darauf solltet ihr achten.
Ihr solltet euer System immer aktualisieren. Wenn ihr Wordpress verwendet, installiert alle Patches. Egal mit welchem CMS ihr arbeitet, nutzt immer die neueste Version. Bei einem Fehler kann eure Website wieder gehackt werden. Und das bringt uns zum nächsten Punkt: Spätestens sobald eure Website bereinigt ist, solltet ihr euer Passwort ändern. Wählt ein richtig schweres, kompliziertes Passwort. Verwendet auf keinen Fall 1, 2, 3, 4, 5, 6. Vermeidet "Liebe". Vermeidet "Gott" .Vermeidet "Passwort". Vermeidet "Lass mich rein". Nehmt am besten eine schwer zu erratende Kombination. Damit erschwert ihr den Hackern den Zugriff auf eure Website.

Werft auch einen Blick auf kostenlose Websites wie unmaskparasites.com . Diese Website ist ziemlich hilfreich, um herauszufinden, welche Arten von Angriffen derzeit verbreitet sind. Der Betreiber gibt ausführliche Infos zu Malware und zeigt, wie sie konkret aussehen kann. Patches und Updates sind das oberste Gebot. Verwendet starke Passwörter.

Wenn ihr diese Warnungen erhaltet, stellt fest, ob es sich um eure Website oder die eines Drittanbieters handelt. Verwendet die Diagnoseseiten "Safe Browsing" und die Malware-Überprüfung. Sobald ihr die Seiten gefunden habt, bereinigt sie. Seid gründlich. Reicht die Website ein und wartet, bis Google grünes Licht gibt. Mit "Abruf wie durch Googlebot" erfahrt ihr, ob eure Website gehackt wurde. Achtet auf SQL-Injektion. Achtet auf .htaccess-Dateien. Dies sind die häufigsten Zugriffsformen.
Es ist frustrierend und ärgerlich. Es fällt schwer, sich einzugestehen, dass die eigene Website gehackt wurde oder Malware enthält. Viele wollen es auch nicht wahrhaben. Der Quellcode ist doch in Ordnung. Aber meistens verstecken sich die Details an seltsamen Stellen wie in JavaScript, oder in verschleiertem JavaScript, das ziemlich undurchsichtig ist. Es geht um Dinge, die relativ normal aussehen. Sie enthalten Domains, die wie Google Analytics aussehen, von denen ihr normalerweise JavaScript herunterladen würdet. Aber ein einzelnes Zeichen weicht ab. Damit kann wirklich Schaden angerichtet werden. Das wieder in Ordnung zu bringen, kann euch echt den Tag vermiesen.

Google nimmt das sehr ernst. Wenn ein Webmaster unbeabsichtigt Malware an seine Nutzer verteilt, ist das unangenehm. Die Nutzer beschweren sich dann bei Google. Wir haben uns also ein paar Dinge überlegt, mit denen Nutzer besser geschützt werden. Wir hoffen, dass euch diese Tools helfen, Ordnung zu schaffen und eure Website wieder vollkommen zu bereinigen . Und wir hoffen, dass danach alles glatt läuft. Viel Erfolg!


Veröffentlicht von Uli Lutz , Search Quality Team