Hacking durch japanische Keywords beheben

Dieser Leitfaden wurde speziell für eine Art von Hack entwickelt, bei der automatisch generierter japanischer Text auf Ihrer Website erstellt wird. Wir bezeichnen diesen als „Japanese Keyword Hack“. Sie richtet sich an Nutzer beliebter Content-Management-Systeme (CMS), ist aber auch für Nutzer ohne CMS hilfreich.

Wir möchten, dass dieser Leitfaden für Sie wirklich hilfreich ist. Geben Sie uns Feedback, damit wir die Funktion verbessern können.

Diese Art von Hack erkennen

Bei dieser Methode werden in der Regel neue Seiten mit automatisch generiertem japanischem Text in zufällig generierten Verzeichnisnamen (z. B. http://example.com/ltjmnjp/341.html) auf Ihrer Website erstellt. Diese Seiten werden mithilfe von Affiliate-Links zu Online-Händlern mit gefälschten Markenprodukten monetarisiert und dann in der Google Suche angezeigt. Hier ein Beispiel für eine dieser Seiten:

Beispiel für eine Seite mit dem japanischen Keyword-Hack
Eine Seite mit Text, die mit dem japanischen Keyword-Hack generiert wurde.

Bei dieser Art von Hack fügt sich der Hacker in der Regel als Property-Inhaber in der Search Console hinzu, um den Gewinn zu steigern, indem er die Einstellungen Ihrer Website wie das Geotargeting oder Sitemaps manipuliert. Wenn Sie eine Benachrichtigung erhalten haben, dass eine Ihnen unbekannte Person Ihre Website in der Search Console bestätigt hat, ist es sehr wahrscheinlich, dass Ihre Website gehackt wurde.

Prüfen Sie zuerst im Tool Sicherheitsprobleme in der Search Console, ob Google eine dieser gehackten Seiten auf Ihrer Website gefunden hat. Manchmal können Sie solche Seiten auch finden, indem Sie ein Google-Suchfenster öffnen und site:_your site url_ zusammen mit der URL der Stammebene Ihrer Website eingeben. Daraufhin werden die Seiten angezeigt, die Google für Ihre Website indexiert hat, einschließlich der gehackten Seiten. Sehen Sie sich einige Seiten der Suchergebnisse an, um zu prüfen, ob ungewöhnliche URLs zu sehen sind. Wenn Sie in der Google Suche keine gehackten Inhalte sehen, verwenden Sie dieselben Suchbegriffe mit einer anderen Suchmaschine. Hier ein Beispiel:

Beispiel für eine gehackte Website in der Google Suche
Die gehackten Seiten werden in den Google-Suchergebnissen angezeigt.

Wenn Sie auf einen Link zu einer gehackten Seite klicken, werden Sie normalerweise zu einer anderen Website weitergeleitet oder sehen eine Seite mit unverständlichen Inhalten. Möglicherweise wird auch eine Meldung angezeigt, dass die Seite nicht existiert (z. B. ein 404-Fehler). Lassen Sie sich nicht täuschen! Hacker versuchen, Sie dazu zu bringen zu glauben, dass die Seite nicht mehr existiert oder repariert wurde, obwohl sie noch gehackt ist. Dazu wird Cloaking eingesetzt. Geben Sie die URLs Ihrer Website in das URL-Prüftool ein, um nach Cloaking zu suchen. Mit dem Tool „Abruf wie durch Google“ können Sie die zugrunde liegenden ausgeblendeten Inhalte sehen.

Wenn Sie diese Probleme feststellen, wurde Ihre Website höchstwahrscheinlich von dieser Art von Hack betroffen.

Hack beheben

Erstellen Sie vor dem Entfernen eine Offlinekopie aller Dateien, für den Fall, dass Sie sie später wiederherstellen müssen. Besser ist es, Ihre gesamte Website zu sichern, bevor Sie mit der Bereinigung beginnen. Sie können dazu alle Dateien auf Ihrem Server an einem anderen Speicherort speichern oder nach den besten Sicherungsoptionen für Ihr Content-Management-System (CMS) suchen. Wenn Sie ein CMS verwenden, sichern Sie auch die Datenbank.

Alle neu erstellten Konten aus der Search Console entfernen

Wenn Ihrem Search Console-Konto ein neuer Inhaber hinzugefügt wurde, den Sie nicht kennen, widerrufen Sie seinen Zugriff so schnell wie möglich. Auf der Überprüfungsseite der Search Console können Sie sehen, welche Nutzer für Ihre Website bestätigt sind. Klicken Sie auf „Bestätigungsdetails“ für die Website, um alle bestätigten Nutzer aufzurufen.

Informationen zum Entfernen eines Inhabers aus der Search Console finden Sie im Hilfeartikel Nutzer, Inhaber und Berechtigungen verwalten im Abschnitt „Inhaber entfernen“. Sie müssen das zugehörige Bestätigungstoken entfernen. Das ist in der Regel entweder eine HTML-Datei im Stammverzeichnis Ihrer Website oder eine dynamisch generierte .htaccess-Datei, die eine HTML-Datei nachahmt.

Wenn Sie auf Ihrer Website kein HTML-Bestätigungstoken finden, prüfen Sie, ob in Ihrer .htaccess-Datei eine Umschreibregel vorhanden ist. Die Umschreibregel sieht in etwa so aus:

RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]

So entfernen Sie das dynamisch generierte Bestätigungstoken aus Ihrer .htaccess-Datei:

.htaccess-Datei prüfen (2 Schritte)

Neben der Verwendung einer .htaccess-Datei zum Erstellen dynamisch generierter Bestätigungstokens verwenden Hacker häufig .htaccess-Regeln, um Nutzer weiterzuleiten oder unsinnige Spamseiten zu erstellen. Sofern Sie keine benutzerdefinierten .htaccess-Regeln haben, sollten Sie Ihre .htaccess durch eine völlig neue Kopie ersetzen.

Schritt 1

Suchen Sie auf Ihrer Website nach der .htaccess-Datei. Wenn Sie nicht sicher sind, wo Sie sie finden, und ein CMS wie WordPress, Joomla oder Drupal verwenden, suchen Sie in einer Suchmaschine nach „Speicherort der .htaccess-Datei“ zusammen mit dem Namen Ihres CMS. Je nach Website werden möglicherweise mehrere .htaccess-Dateien angezeigt. Erstellen Sie eine Liste aller Speicherorte der .htaccess-Dateien.

Schritt 2

Ersetzen Sie alle .htaccess-Dateien durch eine saubere oder Standardversion der .htaccess-Datei. Normalerweise finden Sie eine Standardversion einer .htaccess-Datei, indem Sie nach „.htaccess-Standarddatei“ und dem Namen Ihres CMS suchen. Suchen Sie bei Websites mit mehreren .htaccess-Dateien nach einer sauberen Version jeder Datei und ersetzen Sie sie.

Wenn keine Standard-.htaccess-Datei vorhanden ist und Sie noch nie eine .htaccess-Datei auf Ihrer Website konfiguriert haben, ist die .htaccess-Datei auf Ihrer Website wahrscheinlich schädlich. Speichern Sie zur Sicherheit eine Kopie der .htaccess-Datei(en) offline und löschen Sie die .htaccess-Datei von Ihrer Website.

Alle schädlichen Dateien und Skripte in 4 Schritten entfernen

Das Erkennen schädlicher Dateien kann schwierig und zeitaufwendig sein. Nehmen Sie sich Zeit, wenn Sie Ihre Dateien prüfen. Wenn Sie es noch nicht getan haben, ist jetzt ein guter Zeitpunkt, die Dateien auf Ihrer Website zu sichern. Suchen Sie in Google nach „Website sichern“ und dem Namen Ihres CMS, um eine Anleitung zum Sichern Ihrer Website zu finden.

Schritt 1

Wenn Sie ein CMS verwenden, installieren Sie alle Kerndateien (Standarddateien), die in der Standardverteilung Ihres CMS enthalten sind, sowie alle von Ihnen hinzugefügten Dateien (z. B. Themen, Module oder Plug-ins). So wird sichergestellt, dass diese Dateien keine gehackten Inhalte enthalten. Eine Anleitung zur Neuinstallation finden Sie, wenn Sie bei Google nach „neu installieren“ und dem Namen Ihres CMS suchen. Falls Sie Plug-ins, Module, Erweiterungen oder Designs installiert haben, müssen Sie diese ebenfalls neu installieren.

Schritt 2

Hacker ändern häufig Ihre Sitemap oder fügen neue Sitemaps hinzu, damit ihre URLs schneller indexiert werden. Wenn Sie bereits eine Sitemap-Datei hatten, prüfen Sie diese auf verdächtige Links und entfernen Sie sie aus Ihrer Sitemap. Wenn Sie Sitemap-Dateien finden, die Sie Ihrer Website nicht hinzugefügt haben, prüfen Sie sie und entfernen Sie sie, wenn sie nur Spam-URLs enthalten.

Schritt 3

Suchen Sie nach weiteren schädlichen oder manipulierten Dateien. Möglicherweise haben Sie bereits in den beiden vorherigen Schritten alle schädlichen Dateien entfernt. Es ist jedoch ratsam, die folgenden Schritte auszuführen, falls es weitere manipulierte Dateien auf Ihrer Website gibt.

Lassen Sie sich nicht entmutigen, wenn Sie denken, dass Sie jede PHP-Datei öffnen und durchsuchen müssen. Erstellen Sie zuerst eine Liste der verdächtigen PHP-Dateien, die Sie untersuchen möchten. So können Sie feststellen, welche PHP-Dateien verdächtig sind:

  • Wenn Sie Ihre CMS-Dateien bereits neu geladen haben, sehen Sie sich nur Dateien an, die nicht zu den Standard-CMS-Dateien oder -Ordnern gehören. Dadurch sollten viele PHP-Dateien ausgeschlossen werden und Sie haben nur noch eine Handvoll Dateien zu prüfen.
  • Sortieren Sie die Dateien auf Ihrer Website nach dem Datum der letzten Änderung. Suchen Sie nach Dateien, die innerhalb weniger Monate nach dem Zeitpunkt geändert wurden, an dem Sie festgestellt haben, dass Ihre Website gehackt wurde.
  • Sortieren Sie die Dateien auf Ihrer Website nach Größe. Suchen Sie nach ungewöhnlich großen Dateien.

Schritt 4

Sobald Sie eine Liste mit verdächtigen PHP-Dateien haben, prüfen Sie sie auf schädliche Inhalte. Wenn Sie mit PHP nicht vertraut sind, kann dieser Vorgang etwas zeitaufwendiger sein. Lesen Sie sich daher die PHP-Dokumentation durch. Wenn Sie noch keine Erfahrung mit dem Programmieren haben, holen Sie sich Hilfe. In der Zwischenzeit gibt es einige grundlegende Muster, anhand derer Sie schädliche Dateien erkennen können.

Wenn Sie ein CMS verwenden und die PHP-Dateien nicht direkt bearbeiten, vergleichen Sie die Dateien auf Ihrem Server mit einer Liste der Standarddateien, die im CMS und in allen Plug-ins und Themen enthalten sind. Suchen Sie nach Dateien, die nicht dazu gehören, sowie nach Dateien, die größer als die Standardversion sind.

Durchsuchen Sie die bereits identifizierten verdächtigen Dateien auf Blöcke verschleierter Code. Das kann wie eine Kombination aus scheinbar willkürlich aneinandergereihten Buchstaben und Zahlen aussehen, die in der Regel von einer Kombination aus PHP-Funktionen wie base64_decode, rot13, eval, strrev oder gzinflate vorangestellt werden. Hier ist ein Beispiel für einen Codeblock: Manchmal wird der gesamte Code in eine lange Textzeile gepackt, wodurch er kleiner erscheint, als er tatsächlich ist.

$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A"
);
$OO0_0OO0__
=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}

Prüfen, ob Ihre Website frei von Malware ist

Nachdem Sie die gehackten Dateien entfernt haben, können Sie prüfen, ob sich Ihre harte Arbeit gelohnt hat. Denken Sie noch an die Seiten mit unverständlichen Texten, die Sie zuvor gefunden haben? Verwenden Sie das Tool „Abruf wie durch Google“ noch einmal, um zu prüfen, ob sie noch vorhanden sind. Wenn Sie die Meldung „Nicht gefunden“ erhalten, ist die Wahrscheinlichkeit hoch, dass Sie die Sicherheitslücken auf Ihrer Website beheben können.

Wie kann ich einen weiteren Hack verhindern?

Das Beheben von Sicherheitslücken auf Ihrer Website ist ein wichtiger letzter Schritt zur Behebung von Problemen. Eine aktuelle Studie hat ergeben, dass 20% der gehackten Websites innerhalb eines Tages noch einmal gehackt werden. Deshalb ist es wichtig herauszufinden, wie genau Ihre Website gehackt wurde. Lesen Sie unseren Leitfaden Die gängigsten Methoden von Spammern beim Hacken von Websites, um mit der Untersuchung zu beginnen. Wenn Sie jedoch nicht herausfinden können, wie Ihre Website gehackt wurde, finden Sie unten eine Checkliste mit Maßnahmen, mit denen Sie die Sicherheitslücken auf Ihrer Website verringern können.

  • Computer regelmäßig scannen:Verwenden Sie einen gängigen Virenscanner, um Ihren Computer auf Viren oder Sicherheitslücken zu prüfen.
  • Passwörter regelmäßig ändern:Wenn Sie die Passwörter für alle Ihre Websitekonten wie Ihren Hostinganbieter, FTP und CMS regelmäßig ändern, können Sie unbefugte Zugriffe auf Ihre Website verhindern. Es ist wichtig, dass du für jedes deiner Konten ein eigenes, starkes Passwort erstellst.
  • Zwei-Faktor-Authentifizierung (2FA) verwenden:Aktivieren Sie die 2FA für alle Dienste, bei denen Sie sich anmelden müssen. Durch die Bestätigung in zwei Schritten wird es Hackern erschwert, sich anzumelden, selbst wenn sie Ihr Passwort gestohlen haben.
  • Aktualisieren Sie Ihr CMS, Ihre Plug-ins, Erweiterungen und Module regelmäßig: Hoffentlich haben Sie diesen Schritt bereits ausgeführt. Viele Websites werden gehackt, weil sie veraltete Software verwenden. Einige CMS unterstützten automatische Aktualisierungen.
  • Abonnieren Sie einen Sicherheitsdienst, um Ihre Website zu überwachen:Es gibt viele gute Dienste, die Ihnen helfen können, Ihre Website gegen eine geringe Gebühr zu überwachen. Es empfiehlt sich, sich bei einem dieser Anbieter anzumelden.

Zusätzliche Ressourcen

Wenn Sie weiterhin Probleme bei der Fehlerbehebung auf Ihrer Website haben, finden Sie hier einige weitere Ressourcen, die Ihnen weiterhelfen könnten.

Diese Tools scannen Ihre Website und können unter Umständen problematische Inhalte finden. Google unterstützt bzw. nutzt nur VirusTotal.

Dies sind nur einige Tools, mit denen Sie Ihre Website auf problematische Inhalte prüfen können. Beachten Sie, dass diese Scanner nicht garantieren können, dass alle Arten von problematischen Inhalten erkannt werden.

Weitere Ressourcen von Google, die Ihnen helfen könnten, finden Sie hier: