In meiner Webseite ist schädlicher Code!

Sie haben ein Problem mit schädlichem Code, wenn Sie Ihre eigenen Webseiten besuchen und Ihr Virenscanner Alarm schlägt oder wenn Sie eine Mail von unserem Abuse-Team bekommen, dass Ihre Webseite infiziert ist oder Sie eine Mail von Google bekommen, dass Ihre Webseite schädlich ist und Google Surfer davor warnen wird. 

Zunächst stellen Sie fest, was genau passiert ist und reinigen dann Ihre Webseiten.

Wie finde ich den Schadcode?

Ganz wichtig: Bei Infektionsverdacht vermeiden Sie unbedingt, Ihre Webseite zu besuchen!

Laden Sie sich Ihre Website per FTP auf Ihren Rechner und öffnen Sie die Seite in einem Text-Editor.

Suchen Sie nach: 

  1. IFrame-Exploit: Ein HTMl-Element namens <iframe>, das ein Attribut src="http://" und danach eine IP-Adresse oder Domainname hat, die Ihnen unbekannt sind, ist fast immer verdächtig. Von dort wird meist schädliche Software automatisch auf den Computer des Besuchers geladen. 

Die IFrame-Exploits finden sich häufig gleich nach dem HTML-Tag <body> oder direkt vor dem abschließenden Tag </body> am Ende der Seite.

  1. JavaScript-Exploit: Ein JavaScript-Tag <script> und danach vollkommen unleserlicher Code wie dieser hier: document.write(unescape('%3C%64%69%76...)). Dieses Javascript ist dazu da, verschleierten Code auf Ihre Webseite einzufügen, der im Endeffekt dasselbe macht wie ein IFrame-Exploit. Diese Codezeilen werden von den Angreifern oft am Ende in der Datei angefügt.

Nun haben Sie das konkrete Problem gefunden. Wiederholen Sie die Suche für alle infizierten Seiten. 

Wie lösche ich den Schadcode?

Aktualisieren Sie nun Ihren Virenscanner auf Ihrem Computer, löschen die infizierte Seite und prüfen Sie, ob die gefundene Infektion auch auf Ihrem lokalen Backup Ihrer Website vorhanden ist. Wenn ja, haben Sie ein ernsteres Problem, da Sie zum Einen alle Seiten von Hand reinigen müssen und zum Anderen vermutlich ein Cracker Zugriff auf Ihren Computer bekommen hat. Aktualisieren Sie unbedingt Ihr Betriebssystem und Virenscanner, bevor Sie weitermachen.

Die nicht mehr infizierten Seiten laden Sie per FTP auf Ihren Webspace hoch. Danach ändern Sie im Administrationsinterface unbedingt das FTP-Paßwort. Verwenden Sie Paßwörter mit mindestens 8 Zeichen Länge, Buchstaben und Zahlen sowie KEINE echten Wörter (wie "Password", "test123", „Schatz“ etc.). 

Wenn Sie das FTP-Passwort geändert haben und die Seiten nicht mehr infiziert sind, sollten Sie Ruhe haben.

Aber wie ist der Angreifer reingekommen?

Die häufigsten Ursachen sind: 

Unsichere PHP-Skripte auf Ihrem Webspace, z.B. veraltete Forensoftware, CMS, etc. 
Unsicheres, weil leicht zu ratendes FTP-Passwort 
Infektion mit einem Trojaner auf Ihrem PC (oder dem PC einer Person, die FTP-Zugriff auf Ihre Site hat) 

 

Haben Sie Fragen? Anfrage einreichen

0 Kommentare

Zu diesem Beitrag können keine Kommentare hinterlassen werden.
Powered by Zendesk