Hacking durch japanische Keywords beheben

Diese Anleitung bezieht sich auf eine Art von Hack, bei der automatisch japanischer Text auf Ihrer Website erstellt wird. Wir bezeichnen dies als „Japanischer Keyword-Hack“. Sie ist für Nutzer beliebter Content-Management-Systeme (CMS), gedacht, aber auch wenn Sie kein CMS verwenden, kann sie hilfreich sein.

Diese Art von Hack erkennen

Beim japanischen Keyword-Hack werden in der Regel neue Seiten mit automatisch generiertem japanischem Text in zufällig generierten Verzeichnissen auf Ihrer Website erstellt (z. B. http://example.com/ltjmnjp/341.html). Diese Seiten werden mithilfe von Affiliate-Links zu Online-Händlern mit gefälschten Markenprodukten monetarisiert und dann in der Google Suche angezeigt. Hier sehen Sie ein Beispiel für eine solche Seite:

Beispiel für eine Seite mit dem japanischen Keyword-Hack.
Eine Seite mit Text, der durch den japanischen Keyword-Hack generiert wurde.

Bei dieser Art von Hack fügt sich der Hacker in der Regel als Property-Inhaber in der Search Console hinzu, um den Gewinn zu steigern, indem er die Einstellungen Ihrer Website wie die geografische Ausrichtung oder Sitemaps manipuliert. Wenn Sie eine Benachrichtigung erhalten haben, dass jemand, den Sie nicht kennen, Ihre Website in Google Search Console bestätigt hat, ist es sehr wahrscheinlich, dass Ihre Website gehackt wurde.

Prüfen Sie zuerst in der Search Console mit dem Tool „Sicherheitsprobleme“ , ob Google solche gehackten Seiten auf Ihrer Website gefunden hat. Manchmal können Sie solche Seiten auch finden, indem Sie ein Google Suchfenster öffnen und site:_your site url_eingeben, wobei Sie die URL der Root-Ebene von Ihrer Website verwenden. Daraufhin werden die Seiten angezeigt, die Google für Ihre Website indexiert hat, einschließlich der gehackten Seiten. Sehen Sie sich einige Seiten mit Suchergebnissen an, um nach ungewöhnlichen URLs zu suchen. Wenn Sie in der Google Suche keine gehackten Inhalte finden, verwenden Sie dieselben Suchbegriffe mit einer anderen Suchmaschine. Hier sehen Sie ein Beispiel:

Beispiel für eine gehackte Website in der Suche
Die gehackten Seiten werden in den Google-Suchergebnissen angezeigt.

Wenn Sie auf einen Link zu einer gehackten Seite klicken, werden Sie in der Regel entweder zu einer anderen Website weitergeleitet oder sehen eine Seite voller sinnloser Inhalte. Es kann aber auch eine Meldung angezeigt werden, dass die Seite nicht vorhanden ist (z. B. ein 404-Fehler). Lassen Sie sich nicht täuschen. Hacker versuchen, Ihnen vorzugaukeln, dass die Seite entfernt oder repariert wurde, obwohl sie immer noch gehackt ist. Dazu verwenden sie Cloaking. Prüfen Sie auf Cloaking, indem Sie die URLs Ihrer Website in das URL-Prüftool eingeben. Mit diesem Tool können Sie die zugrunde liegenden versteckten Inhalte sehen.

Wenn Sie diese Probleme sehen, ist Ihre Website höchstwahrscheinlich von dieser Art von Hack betroffen.

Hack beheben

Bevor Sie beginnen, erstellen Sie eine Offlinekopie aller Dateien, bevor Sie sie entfernen, falls Sie sie später wiederherstellen müssen. Noch besser ist es, wenn Sie Ihre gesamte Website sichern, bevor Sie mit der Bereinigung beginnen. Dazu können Sie alle Dateien auf Ihrem Server an einem Ort außerhalb Ihres Servers speichern oder nach den besten Sicherungsoptionen für Ihr Content-Management-System (CMS) suchen. Wenn Sie ein CMS verwenden, sichern Sie auch die Datenbank.

Alle neu erstellten Konten aus der Search Console entfernen

Wenn Ihrem Search Console-Konto ein neuer Inhaber hinzugefügt wurde, den Sie nicht kennen, widerrufen Sie so schnell wie möglich den Zugriff. Auf der Bestätigungsseite der Search Console können Sie prüfen, welche Nutzer für Ihre Website bestätigt sind auf der. Klicken Sie bei der Website auf „Bestätigungsdetails“, um alle bestätigten Nutzer zu sehen.

Informationen zum Entfernen eines Inhabers aus der Search Console finden Sie im Hilfeartikel Nutzer, Inhaber und Berechtigungen verwalten im Abschnitt „Inhaber entfernen“ . Sie müssen das zugehörige Bestätigungstoken entfernen. In der Regel ist das entweder eine HTML-Datei im Stammverzeichnis Ihrer Website oder eine dynamisch generierte .htaccess-Datei, die eine HTML-Datei imitiert.

Wenn Sie kein HTML-Bestätigungstoken auf Ihrer Website finden, suchen Sie in Ihrer .htaccess-Datei nach einer Rewrite-Regel. Die Rewrite-Regel sieht in etwa so aus:

RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]

So entfernen Sie das dynamisch generierte Bestätigungstoken aus Ihrer .htaccess-Datei:

.htaccess-Datei prüfen (2 Schritte)

Hacker verwenden nicht nur .htaccess-Dateien, um dynamisch generierte Bestätigungstoken zu erstellen, sondern auch .htaccess-Regeln, um Nutzer weiterzuleiten oder sinnlose Spam-Seiten zu erstellen. Wenn Sie keine benutzerdefinierten .htaccess-Regeln haben, sollten Sie Ihre .htaccess-Datei durch eine völlig neue Kopie ersetzen.

Schritt 1

Suchen Sie auf Ihrer Website nach der Datei .htaccess. Wenn Sie nicht wissen, wo Sie sie finden, und Sie ein CMS wie WordPress, Joomla oder Drupal verwenden, suchen Sie in einer Suchmaschine nach „Speicherort der Datei .htaccess“ zusammen mit dem Namen Ihres CMS. Je nach Website sehen Sie möglicherweise mehrere .htaccess-Dateien. Erstellen Sie eine Liste aller Speicherorte der .htaccess-Dateien.

Schritt 2

Ersetzen Sie alle .htaccess-Dateien durch eine saubere oder Standardversion der .htaccess-Datei. Eine Standardversion einer .htaccess-Datei finden Sie in der Regel, indem Sie nach „Standarddatei .htaccess“ und dem Namen Ihres CMS suchen. Suchen Sie für Websites mit mehreren .htaccess-Dateien eine saubere Version jeder Datei und ersetzen Sie sie.

Wenn keine Standarddatei .htaccess vorhanden ist und Sie noch nie eine .htaccess-Datei auf Ihrer Website konfiguriert haben, ist die .htaccess-Datei, die Sie auf Ihrer Website finden, wahrscheinlich schädlich. Speichern Sie vorsichtshalber eine Kopie der .htaccess-Datei(en) offline und löschen Sie die .htaccess-Datei von Ihrer Website.

Alle schädlichen Dateien und Skripte in 4 Schritten entfernen

Das Identifizieren schädlicher Dateien kann schwierig und zeitaufwendig sein. Nehmen Sie sich Zeit, wenn Sie Ihre Dateien prüfen. Wenn Sie es noch nicht getan haben, ist jetzt ein guter Zeitpunkt, die Dateien auf Ihrer Website zu sichern. Suchen Sie in Google nach „Website sichern“ und dem Namen Ihres CMS, um eine Anleitung zum Sichern Ihrer Website zu finden.

Schritt 1

Wenn Sie ein CMS verwenden, installieren Sie alle Standarddateien neu, die in der Standarddistribution Ihres CMS enthalten sind, sowie alle von Ihnen hinzugefügten Elemente wie Designs, Module oder Plug-ins. So können Sie sicher sein, dass diese Dateien keine gehackten Inhalte enthalten. Suchen Sie in Google nach „neu installieren“ und dem Namen Ihres CMS, um eine Anleitung zur Neuinstallation zu finden. Wenn Sie Plug-ins, Module, Erweiterungen oder Designs haben, installieren Sie diese ebenfalls neu.

Schritt 2

Hacker ändern oft Ihre Sitemap oder fügen neue Sitemaps hinzu, damit ihre URLs schneller indexiert werden. Wenn Sie zuvor eine Sitemap-Datei hatten, suchen Sie in der Datei nach verdächtigen Links und entfernen Sie sie. Wenn es Sitemap-Dateien gibt, die Sie nicht hinzugefügt haben, überprüfen Sie die Datei. Entfernen Sie die Datei, wenn sie nur Spam-URLs enthält.

Schritt 3

Suchen Sie nach anderen schädlichen oder kompromittierten Dateien. Möglicherweise haben Sie in den vorherigen beiden Schritten bereits alle schädlichen Dateien entfernt. Es ist jedoch ratsam, die nächsten Schritte durchzugehen, falls sich auf Ihrer Website weitere kompromittierte Dateien befinden.

Sie müssen nicht jede PHP-Datei öffnen und durchsuchen. Erstellen Sie zuerst eine Liste verdächtiger PHP-Dateien, die Sie untersuchen möchten. So können Sie herausfinden, welche PHP-Dateien verdächtig sind:

  • Wenn Sie Ihre CMS-Dateien bereits neu geladen haben, sehen Sie sich nur Dateien an, die nicht zu den Standarddateien oder ‑ordnern Ihres CMS gehören. So können Sie viele PHP-Dateien ausschließen und haben nur noch einige Dateien zu prüfen.
  • Sortieren Sie die Dateien auf Ihrer Website nach dem Datum der letzten Änderung. Suchen Sie nach Dateien, die innerhalb weniger Monate nach dem Zeitpunkt geändert wurden, an dem Sie zum ersten Mal festgestellt haben, dass Ihre Website gehackt wurde.
  • Sortieren Sie die Dateien auf Ihrer Website nach Größe. Suchen Sie nach ungewöhnlich großen Dateien.

Schritt 4

Wenn Sie eine Liste verdächtiger PHP-Dateien haben, prüfen Sie sie auf schädliche Inhalte. Wenn Sie mit PHP nicht vertraut sind, kann dieser Vorgang zeitaufwendiger sein, lesen Sie daher am besten einige PHP-Dokumente. Wenn Sie noch nie programmiert haben, empfehlen wir Ihnen, sich an einen erfahrenen Entwickler zu wenden. In der Zwischenzeit können Sie nach einigen grundlegenden Mustern suchen, um schädliche Dateien zu identifizieren.

Wenn Sie ein CMS verwenden und die PHP-Dateien nicht direkt bearbeiten, vergleichen Sie die Dateien auf Ihrem Server mit einer Liste der Standarddateien, die im CMS und in allen Plug-ins und Designs enthalten sind. Suchen Sie nach Dateien, die nicht dazugehören, sowie nach Dateien, die größer als die Standardversion sind.

Suchen Sie in den verdächtigen Dateien, die Sie bereits identifiziert haben, nach Blöcken mit verschleiertem Code. Das kann wie eine Kombination aus scheinbar durcheinandergewürfelten Buchstaben und Zahlen aussehen, die in der Regel von einer Kombination aus PHP-Funktionen wie base64_decode, rot13, eval, strrev oder gzinflate gefolgt wird. Hier sehen Sie ein Beispiel dafür, wie der Codeblock aussehen kann. Manchmal ist der gesamte Code in einer langen Textzeile enthalten, sodass er kleiner aussieht, als er tatsächlich ist.

$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}

Prüfen, ob Ihre Website sauber ist

Nachdem Sie alle gehackten Dateien entfernt haben, prüfen Sie, ob sich Ihre Mühe gelohnt hat. Erinnern Sie sich an die unsinnigen Inhalte, die Sie zuvor identifiziert haben? Verwenden Sie noch einmal das Tool „Abruf wie durch Google“, um zu prüfen, ob sie noch vorhanden sind.

Wenn sie in „Abruf wie durch Google“ als „Nicht gefunden“ angezeigt werden, ist die Wahrscheinlichkeit hoch, dass Sie alles richtig gemacht haben. Sie können dann mit der Behebung der Sicherheitslücken auf Ihrer Website fortfahren.

Wie kann ich einen weiteren Hack verhindern?

Das Beheben von Sicherheitslücken auf Ihrer Website ist ein wichtiger letzter Schritt, um Ihre Website zu reparieren. In einer aktuellen Studie wurde festgestellt, dass 20% der gehackten Websites innerhalb eines Tages erneut gehackt werden. Deshalb ist es wichtig herauszufinden, wie genau Ihre Website gehackt wurde. Lesen Sie unseren Leitfaden zu den häufigsten Methoden, mit denen Websites von Spammern gehackt werden , um mit der Untersuchung zu beginnen. Wenn Sie nicht herausfinden können, wie Ihre Website gehackt wurde, folgen Sie dieser Checkliste, um Sicherheitslücken auf Ihrer Website zu reduzieren.

  • Computer regelmäßig scannen: Verwenden Sie eine gängige Antivirensoftware, um nach Viren oder Sicherheitslücken zu suchen.
  • Passwörter regelmäßig ändern: Wenn Sie die Passwörter für alle Ihre Websitekonten wie Hostinganbieter, FTP und CMS regelmäßig ändern, können Sie unbefugten Zugriff auf Ihre Website verhindern. Es ist wichtig, für jedes Konto ein starkes, eindeutiges Passwort zu erstellen.
  • Verwenden Sie die 2‑Faktor-Authentifizierung (2FA): Aktivieren Sie die 2FA für alle Dienste, bei denen Sie sich anmelden müssen. So wird es für Hacker schwieriger, sich anzumelden, auch wenn sie Ihr Passwort stehlen.
  • CMS, Plug-ins, Erweiterungen und Module regelmäßig aktualisieren: Hoffentlich haben Sie diesen Schritt bereits ausgeführt. Viele Websites werden gehackt, weil sie mit veralteter Software betrieben werden. Einige CMS unterstützen automatische Aktualisierungen.
  • Sicherheitsdienst abonnieren, um Ihre Website zu überwachen: Es gibt viele Dienste, mit denen Sie Ihre Website gegen eine geringe Gebühr überwachen lassen können. Es empfiehlt sich, sich bei einem dieser Anbieter anzumelden.

Zusätzliche Ressourcen

Wenn Sie immer noch Probleme haben, Ihre Website zu reparieren, gibt es einige weitere Ressourcen, die Ihnen helfen können.

Diese Tools scannen Ihre Website und können unter Umständen problematische Inhalte finden. Google unterstützt bzw. nutzt nur VirusTotal.

Dies sind nur einige Tools, mit denen Sie Ihre Website auf problematische Inhalte scannen können. Beachten Sie, dass diese Scanner nicht garantieren können, dass sie alle Arten von problematischen Inhalten erkennen.

Weitere Ressourcen von Google, die Ihnen helfen könnten, finden Sie hier: