Website bereinigen und instand halten

Damit Ihre Website sauber bleibt und zukünftige Hackerangriffe verhindert werden, benötigen Sie Folgendes:

  • Shell- oder Terminal-Administratorzugriff auf die Server Ihrer Website: Web, Datenbank, Dateien
  • Kenntnisse der Shell- oder Terminal-Befehle
  • Codekenntnisse (z. B. PHP oder JavaScript)
  • Speicherplatz zum Erstellen von Sicherungen Ihrer Website, einschließlich Dateien, Datenbank und Bildern

Nächste Aktionen

Wir decken in diesem Schritt mehrere Aktionen ab:

  • Hier finden Sie weitere Informationen, wenn Sie der Meinung sind, dass der Hacker beabsichtigt hat, personenbezogene Daten von Nutzern zu erhalten (z. B. über Phishing-Seiten).
  • Mit der Option URLs entfernen in der Search Console können Sie das Entfernen von völlig neuen, unerwünschten, für Nutzer sichtbaren URLs beschleunigen, die vom Hacker erstellt wurden und nicht in den Google-Suchergebnissen erscheinen sollen.
  • Die Option Google bitten, Ihre URLs noch einmal zu crawlen, um die Verarbeitung sauberer Seiten zu beschleunigen, d. h. Seiten, die entweder neu sind oder kürzlich aktualisiert wurden und die in den Google-Suchergebnissen angezeigt werden sollen.
  • Installation der neuesten und sichersten Softwareversion
  • Entfernen Sie unnötige oder ungenutzte Anwendungen oder Plug-ins, die Ihre Website künftig anfälliger machen könnten.
  • Wiederherstellung fehlerfreier Inhalte und Entfernen der Inhalte des Hackers
  • Beheben der Grundursache der Sicherheitslücke, die vom Hacker ausgenutzt wurde.
  • Alle Passwörter ändern
  • Sie planen, Ihre Website zu schützen.

1. Supportressourcen finden

Wenn vertrauliche Nutzerdaten von Ihrer Website abgerufen wurden (z. B. im Rahmen eines Phishing-Angriffs), sollten Sie alle geschäftlichen, rechtlichen oder behördlichen Verpflichtungen berücksichtigen, bevor Sie mit der Bereinigung Ihrer Website oder dem Löschen von Dateien beginnen. Bei Phishing-Angriffen finden Sie unter antiphishing.org nützliche Ressourcen, z. B. das Dokument Was tun, wenn Ihre Website von Phishern gehackt wurde.

2. Neue, vom Hacker erstellte URLs zügig entfernen

Wenn der Hacker völlig neue, für Nutzer sichtbare URLs erstellt hat, können Sie diese Seiten mit der Funktion URLs entfernen in der Search Console schneller aus den Google-Suchergebnissen entfernen. Dieser Schritt ist optional. Wenn Sie die Seiten einfach löschen und dann Ihren Server so konfigurieren, dass er einen 404-Statuscode zurückgibt, werden die Seiten mit der Zeit automatisch aus dem Google-Index entfernt.

  • Die Entscheidung, ob die Funktion „URL entfernen“ verwendet werden soll, hängt wahrscheinlich von der Anzahl der neuen, unerwünschten Seiten ab, die erstellt wurden (zu viele Seiten können es schwierig machen, sie in „URLs entfernen“ aufzunehmen), sowie von den potenziellen Schäden, die diese Seiten Nutzern zufügen könnten. Damit die über die URL-Entfernung eingereichten Seiten nicht in den Suchergebnissen erscheinen, müssen sie so konfiguriert sein, dass für die unerwünschten und entfernten URLs eine Antwort vom Typ „404 – Datei nicht gefunden“ zurückgegeben wird.
  • Verwenden Sie dieses Tool nicht, um die Entfernung von zuvor einwandfreien Seiten zu beantragen, die nur vom Hacker beschädigt wurden. Sie sollten in den Suchergebnissen erscheinen, nachdem sie bereinigt wurden. Die Entfernung von URLs ist nur für Seiten möglich, die niemals in den Ergebnissen erscheinen sollen.

3. Bearbeitung Ihrer gültigen Seiten durch Google beschleunigen

Wenn Sie neue oder aktualisierte Seiten haben, können Sie in der Search Console Google bitten, Ihre URLs noch einmal zu crawlen, um diese Seiten dem Google-Index hinzuzufügen. Dies ist optional. Wenn Sie diesen Schritt überspringen, werden Ihre neuen oder geänderten Seiten mit der Zeit wahrscheinlich gecrawlt und verarbeitet.

4. Bereinigung Ihres Servers bzw. Ihrer Server starten

Jetzt ist es an der Zeit, Ihre Website anhand der Notizen zu bereinigen, die Sie bei der Bewertung des Schadens und der Identifizierung der Sicherheitslücke gemacht haben. Welchen Pfad Sie in diesem Schritt auswählen, hängt von der Art der Sicherung ab, die Sie zur Verfügung haben:

  • Saubere und aktuelle Sicherung
  • Saubere, aber veraltete Sicherung
  • Keine Sicherung verfügbar

Prüfen Sie zuerst, ob Ihr Back-up vor dem Hack erstellt wurde.

Saubere und aktuelle Sicherung

  1. Stellen Sie Ihre Sicherung wieder her.
  2. Installieren Sie alle verfügbaren Software-Upgrades, -Updates oder -Patches. Dazu gehören die Software für das Betriebssystem, wenn Sie die Kontrolle über den Server haben, und alle Anwendungen wie das Content-Management-System, die E-Commerce-Plattform, Plug-ins oder Vorlagen.
  3. Entfernen Sie Software, die von der Website nicht mehr verwendet wird, von Ihrem Server (z. B. Widgets, Plug-ins oder Anwendungen).
  4. Beseitigen Sie die Sicherheitslücken.
  5. Sorgen Sie dafür, dass alle unter Schadensbeurteilung identifizierten Probleme behandelt wurden.
  6. Ändern Sie noch einmal die Passwörter für alle zur Website gehörigen Konten (z.B. Anmeldungen für den FTP-Zugang, Datenbankzugriff, Systemadministratoren und CMS-Konten). Für Unix-basierte Systeme:
passwd admin1

Saubere, aber veraltete Sicherung

  1. Erstellen Sie ein Laufwerk-Image Ihrer aktuellen Website, auch wenn sie noch infiziert ist. Diese Kopie ist nur zur Sicherheit. Markieren Sie die Kopie als infiziert, um sie von den anderen zu unterscheiden. Auf einem Unix-basierten System können Sie folgendermaßen ein Speicherabbild erstellen:
dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz
  1. Erstellen Sie eine Sicherungsdateisystemkopie Ihres Servers, einschließlich Bildern und Mediendateien. Sollten Sie eine Datenbank verwenden, erstellen Sie ebenfalls eine Sicherung Ihrer Datenbank.
tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump
-u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql
  1. Stellen Sie die saubere, aber veraltete Sicherung auf Ihrem Server wieder her.
  2. Überlegen Sie, ob Sie Software auf Ihrem Server entfernen können, die nicht mehr verwendet wird (z.B. Widgets, Plug-ins oder Anwendungen).
  3. Aktualisieren Sie die gesamte Software, einschließlich des Betriebssystems, wenn Sie die Kontrolle über den Server haben, sowie aller Softwareanwendungen wie das Content-Management-System, die E-Commerce-Plattform, Plug-ins und Vorlagen. Prüfen und installieren Sie unbedingt verfügbare Sicherheitsupdates und ‑patches.
  4. Beseitigen Sie die Sicherheitslücken.
  5. Führen Sie eine Websitediff entweder manuell oder automatisch zwischen der sauberen Sicherung und der aktuellen infizierten Kopie aus.
diff -qr www/ backups/full-backup-20120124/
  1. Laden Sie alle neuen, sauberen Inhalte, die Sie aus der infizierten Kopie sichern möchten, auf den aktualisierten Server hoch.
rsync -avz /backups/full-backup-20120124/www/clean-file.jpg /www/
  1. Prüfen Sie, ob alle URLs aus Schadensumfang ermitteln korrigiert wurden.
  2. Ändern Sie noch einmal die Passwörter für alle Konten, die sich auf die Website beziehen (z. B. Anmeldedaten für den FTP-Zugriff, den Datenbankzugriff, Systemadministratoren und CMS-Konten). Für Unix-basierte Systeme:
$passwd admin1

Keine Sicherung verfügbar

Erstellen Sie zwei Back-ups Ihrer Website, auch wenn sie noch infiziert ist. Mit einer zusätzlichen Sicherung können Sie versehentlich gelöschte Inhalte wiederherstellen oder bei Problemen rückgängig machen und es noch einmal versuchen. Beschriften Sie jede Sicherung mit dem Hinweis "infiziert".

Eine Ihrer Sicherungen besteht, nach den vorausgegangen Schritten, aus einem Speicherabbild, d.­ h. einer "Klonversion" Ihrer Website. Dieses Format macht das Wiederherstellen von Inhalten noch einfacher. Sie können das Laufwerk-Image für Notfälle griffbereit halten. Verwenden Sie auf einem Unix-basierten System den folgenden Code, um ein Laufwerk-Image zu erstellen:

dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz

Die andere Sicherung ist eine Dateisystemkopie von Ihrem Server, einschließlich Bildern und Mediendateien. Wenn Sie eine Datenbank haben, sichern Sie auch diese.

tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump
-u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql

Wenn Sie kein Laufwerk-Image haben, erstellen Sie zwei Sicherungen der Datenbank und des Dateisystems.

So bereinigen Sie die Websiteinhalte in der neuen Sicherungsdateisystemkopie (nicht auf dem Server selbst):

  1. Wenn bei Ihrer früheren Untersuchung zu laxe Dateiberechtigungen gefunden wurden, korrigieren Sie diese. Führen Sie diese Schritte auf der Sicherungskopie und nicht auf dem Server selbst aus.
  2. Bereinigen Sie auch in der Sicherungskopie alle Dateien, die den als manipuliert erkannten URLs entsprechen, unter Schadensumfang ermitteln. Dabei kann es sich um Serverkonfigurationsdateien, JavaScript, HTML oder PHP handeln.
  3. Entfernen Sie auch neue Dateien, die vom Hacker erstellt wurden, und geben Sie eine 404-Antwort zurück. Diese Dateien haben Sie möglicherweise mit dem Tool zum Entfernen von URLs in der Search Console eingereicht.
  4. Wenn Ihr Code betroffen ist oder Ihre Passwörter geknackt wurden, beseitigen Sie die entsprechenden Sicherheitslücken. Input-Validierungs Bibliotheken oder Sicherheits-Audits können hierbei von Hilfe sein.
  5. Wenn Ihre Website eine Datenbank hat, bereinigen Sie die von Hackern manipulierten Einträge in Ihrer Sicherung. Prüfen Sie noch einige weitere Einträge, um sicherzugehen, dass die Datenbank sauber ist.
  6. Ändern Sie noch einmal die Passwörter für alle Konten, die mit der Website verknüpft sind, z. B. Anmeldedaten für den FTP-Zugriff, den Datenbankzugriff, Systemadministratoren und CMS-Konten. Verwenden Sie auf Unix-basierten Systemen den folgenden Code:
$passwd admin1

An dieser Stelle sollte die ehemals infizierte Sicherungskopie Ihrer Website nur bereinigte Daten enthalten. Halten Sie die bereinigte Kopie griffbereit und fahren Sie mit Schritt 5 fort.

5. Unnötige Software entfernen

Überlegen Sie, ob Sie nicht mehr von der Website verwendete Software wie Widgets, Plug-ins oder Anwendungen von Ihrem Server entfernen können. Dies kann die Sicherheit erhöhen und zukünftige Wartungen vereinfachen.

6. Alle Server bereinigen

  1. Führen Sie eine saubere Installation durch, nicht nur ein Upgrade. Bei Upgrades können Dateien aus einer vorherigen Version verbleiben. Wenn eine infizierte Datei auf dem Server verbleibt, ist die Wahrscheinlichkeit höher, dass Ihre Website noch einmal gehackt wird.
    • Die Neuinstallation sollte das Betriebssystem enthalten, wenn Sie die Kontrolle über den Server haben, sowie alle Softwareanwendungen wie das Content-Management-System, die E-Commerce-Plattform, Plug-ins und Vorlagen. Prüfen Sie, ob Sicherheitsupdates und ‑patches verfügbar sind.
  2. Übertragen Sie fehlerfreie Inhalte aus der sauberen Sicherungsdateisystemkopie auf die neu installierten Server. Laden Sie nur die bekannten sauberen Dateien oder die Datenbank hoch und stellen Sie sie wieder her. Achten Sie darauf, die richtigen Dateiberechtigungen beizubehalten und die neu installierten Systemdateien nicht zu überschreiben.
  3. Ändern Sie noch einmal die Passwörter für alle Konten, die mit der Website verknüpft sind (z.B. Anmeldedaten für den FTP-Zugriff, den Datenbankzugriff, Systemadministratoren und CMS-Konten). Verwenden Sie unter Unix-basierten Systemen den folgenden Code:
passwd admin1

7. Langfristigen Wartungsplan erstellen

Wir empfehlen dringend Folgendes:

  • Erstellen Sie regelmäßige, automatisierte Sicherungen Ihrer Website.
  • Achten Sie darauf, Software auf dem neuesten Stand zu halten.
  • Informieren Sie sich über die Sicherheitspraktiken aller Anwendungen, Plug-ins und anderer Drittanbietersoftware, bevor Sie sie auf Ihrem Server installieren. Eine Sicherheitslücke in einer Softwareanwendung kann sich auf die Sicherheit Ihrer gesamten Website auswirken.
  • Erstellen Sie starke Passwörter.
  • Alle Geräte, mit denen Sie sich auf dem Computer anmelden, müssen sicher sein (aktualisiertes Betriebssystem und Browser).

8. Nochmals überprüfen, ob die Bereinigung abgeschlossen ist

Stellen Sie sicher, dass Sie auf die folgenden Fragen mit "Ja" antworten können:

  • Habe ich die richtigen Maßnahmen ergriffen, wenn der Hacker personenbezogene Daten von Nutzern erhalten hat?
  • Läuft auf meiner Website die neueste und sicherste Softwareversion?
  • Habe ich alle unnötigen oder nicht verwendeten Anwendungen oder Plug-ins entfernt, die meine Website in Zukunft anfälliger machen könnten?
  • Habe ich meine Inhalte wiederhergestellt und die Inhalte des Hackers entfernt?
  • Habe ich die Grundursache der Sicherheitslücke beseitigt, durch die meine Website gehackt werden konnte?
  • Habe ich einen Plan, um meine Website auf Dauer abzusichern?

Sie können Ihre Website jetzt wieder online stellen.