Beheben Sie das Hacking durch verborgene Keywords und Links

Dieser Leitfaden wurde speziell für eine Art von Hack entwickelt, bei dem Ihrer Website keyword-lastige Seiten mit unverständlichem Text hinzugefügt werden. Wir bezeichnen diesen Hack als „Versteckte Keywords und Links“. Sie richtet sich in erster Linie an Nutzer von populären Content-Management-Systemen (CMS). Auch wenn Sie kein CMS verwenden, kann dieser Leitfaden für Sie nützlich sein.

Bei Keyword- und Link-Hacks, die mit Cloaking arbeiten, wird automatisch eine Vielzahl von Seiten mit sinnlosen Texten, Links und Bildern erstellt. Diese Seiten enthalten manchmal sogar Grundbausteine der Vorlage der Originalwebsite, sodass die Seiten auf den ersten Blick wie ganz normale Bestandteile Ihrer Website aussehen, bis man den Inhalt liest.

Die gehackten Seiten werden erstellt, um die Rankingfaktoren von Google zu manipulieren. Hacker versuchen oft, dies zu monetarisieren, indem sie die Links auf den gehackten Seiten an verschiedene Dritte verkaufen. Außerdem werden Besucher auf den gehackten Seiten oft auf eine völlig andere Seite weitergeleitet, mit der die Hacker Geld verdienen können.

Prüfen Sie zuerst mit dem Tool Sicherheitsprobleme in der Search Console, ob Google eine dieser gehackten Seiten auf Ihrer Website gefunden hat. Manchmal können Sie die Seiten auch finden, indem Sie die Google Suche öffnen und site:_your site url_ zusammen mit der URL der Stammebene Ihrer Website eingeben. In den Ergebnissen dieser Suche werden die Seiten angezeigt, die Google für Ihre Website indexiert hat, einschließlich der gehackten Seiten. Sehen Sie sich einige Seiten der Suchergebnisse an, um zu sehen, ob Sie ungewöhnliche URLs finden.

Wenn Sie in der Google Suche keine gehackten Inhalte sehen, verwenden Sie dieselben Suchbegriffe mit einer anderen Suchmaschine. Hier ein Beispiel:

Durch diesen Hack generierte Suchergebnisse.
Die gehackten Seiten werden in den Google-Suchergebnissen angezeigt. Diese wurden von einer anderen Person als dem Websiteinhaber erstellt. In den Beschreibungen sehen Sie den unsinnigen Text, der mit diesem Hack erstellt wurde.

Wenn Sie auf einen Link zu einer gehackten Seite klicken, werden Sie normalerweise zu einer anderen Website weitergeleitet oder sehen eine Seite mit unverständlichen Inhalten. Möglicherweise wird auch eine Meldung angezeigt, dass die Seite nicht existiert (z. B. ein 404-Fehler). Lassen Sie sich nicht täuschen! Hacker versuchen, Sie dazu zu bringen zu glauben, dass die Seite nicht mehr existiert oder repariert wurde, obwohl sie noch gehackt ist. Dazu wird Cloaking eingesetzt.

Geben Sie die URLs Ihrer Website in das URL-Prüftool ein, um nach Cloaking zu suchen. Mit dem Tool „Abruf wie durch Google“ können Sie die zugrunde liegenden ausgeblendeten Inhalte sehen.

Beispielseite, die mit diesem Hack erstellt wurde
Ein Beispiel für eine Seite, die mit diesem Hack erstellt wurde.

Hack beheben

Sichern Sie Ihre gesamte Website offline, bevor Sie beginnen. So können Sie bei Bedarf alle Dateien wiederherstellen. Speichern Sie alle Dateien auf Ihrem Server an einem anderen Speicherort.

Wenn Sie ein Content-Management-System (CMS) wie WordPress oder Drupal verwenden, können Sie Ihre Website möglicherweise mit einem Sicherungs-Plug-in speichern. Denken Sie auch daran, Ihre Datenbank zu sichern. Weitere Informationen dazu finden Sie in der Dokumentation Ihres CMS.

.htaccess-Datei prüfen (3 Schritte)

Bei Keyword- und Link-Hacks, die mit Cloaking arbeiten, wird automatisch eine Vielzahl von Seiten mit sinnlosen Sätzen, Links und Bildern erstellt..htaccess Wenn Sie sich mit den .htaccessGrundlagen auf der offiziellen Apache-Website vertraut machen, können Sie besser nachvollziehen, wie sich der Hack auf Ihre Website auswirkt. Dies ist jedoch nicht erforderlich.

Schritt 1

Suchen Sie auf Ihrer Website nach der .htaccess-Datei. Wenn Sie nicht sicher sind, wo Sie sie finden, und ein CMS wie WordPress, Joomla oder Drupal verwenden, suchen Sie in einer Suchmaschine nach „Speicherort der .htaccess-Datei“ zusammen mit dem Namen Ihres CMS. Je nach Website werden möglicherweise mehrere .htaccess-Dateien angezeigt. Erstellen Sie eine Liste aller Speicherorte der .htaccess-Dateien.

Schritt 2

Öffnen Sie die Datei .htaccess, um den Inhalt anzusehen. Suchen Sie nach einer Codezeile, die in etwa so aussieht:

RewriteRule (.*cj2fa.*|^tobeornottobe$) /injected_file.php?q=$1 [L]

Die Variablen in dieser Zeile können sich unterscheiden. Sowohl cj2fa als auch tobeornottobe können aus einer beliebigen Kombination von Buchstaben oder Wörtern bestehen. Wichtig ist, die .php zu ermitteln, auf die in dieser Zeile verwiesen wird.

Notieren Sie sich die in der Datei .htaccess erwähnte Datei .php. Im Beispiel heißt die .php-Datei injected_file.php, in der Realität ist der Dateiname jedoch nicht so offensichtlich. In der Regel handelt es sich um eine zufällige Reihe harmloser Wörter wie horsekeys.php oder potatolake.php. Es handelt sich wahrscheinlich um eine schädliche .php-Datei, die wir später finden und entfernen müssen.

Schritt 3

Ersetzen Sie alle .htaccess-Dateien durch eine saubere oder Standardversion der .htaccess-Datei. Normalerweise finden Sie eine Standardversion einer .htaccess-Datei, wenn Sie nach „.htaccess-Standarddatei“ und dem Namen Ihres CMS suchen. Suchen Sie bei Websites mit mehreren .htaccess-Dateien nach einer sauberen Version jeder Datei und ersetzen Sie sie.

Wenn keine Standard-.htaccess vorhanden ist und Sie noch nie eine .htaccess-Datei auf Ihrer Website konfiguriert haben, ist die .htaccess-Datei, die Sie auf Ihrer Website finden, wahrscheinlich schädlich. Speichern Sie zur Sicherheit eine Kopie der .htaccess-Dateien offline und auf Ihrer Website.

Andere schädliche Dateien finden und entfernen (5 Schritte)

Das Erkennen schädlicher Dateien kann schwierig und zeitaufwendig sein. Nehmen Sie sich Zeit, wenn Sie Ihre Dateien prüfen. Wenn Sie es noch nicht getan haben, ist jetzt ein guter Zeitpunkt, die Dateien auf Ihrer Website zu sichern. In der Dokumentation Ihres CMS erfahren Sie, wie Sie eine Sicherung Ihrer Website erstellen.

Schritt 1

Wenn Sie ein CMS verwenden, installieren Sie alle Kerndateien (Standarddateien), die in der Standardverteilung Ihres CMS enthalten sind, sowie alle von Ihnen hinzugefügten Dateien (z. B. Themen, Module, Plug-ins). So wird sichergestellt, dass diese Dateien keine gehackten Inhalte enthalten. Suche nach „neu installieren“ und dem Namen deines CMS, um eine Anleitung zur Neuinstallation zu finden. Falls Sie Plug-ins, Module, Erweiterungen oder Designs installiert haben, müssen Sie diese ebenfalls neu installieren.

Schritt 2

Suchen Sie zuerst nach der Datei .php, die Sie zuvor in der Datei .htaccess ermittelt haben. Je nachdem, wie Sie auf die Dateien auf Ihrem Server zugreifen, sollten Sie eine Suchfunktion haben. Suchen Sie nach dem Namen der schädlichen Datei. Wenn Sie es finden, erstellen Sie zuerst eine Sicherungskopie und speichern Sie sie an einem anderen Speicherort, für den Fall, dass Sie sie wiederherstellen müssen. Löschen Sie sie dann von Ihrer Website.

Schritt 3

Suchen Sie nach verbleibenden schädlichen oder manipulierten Dateien. Möglicherweise haben Sie bereits in den beiden vorherigen Schritten alle schädlichen Dateien entfernt. Es ist jedoch wichtig, dies zu überprüfen, um sicherzugehen, dass sich keine weiteren manipulierten Dateien auf Ihrer Website befinden.

Sie fühlen sich vielleicht überfordert, wenn Sie glauben, dass Sie jede PHP-Datei öffnen und sich ansehen müssen. Erstellen Sie stattdessen eine Liste der verdächtigen PHP-Dateien, die Sie untersuchen möchten. So können Sie feststellen, welche PHP-Dateien verdächtig sind:

  • Wenn Sie Ihre CMS-Dateien bereits neu geladen haben, sehen Sie sich nur Dateien an, die nicht zu den Standard-CMS-Dateien oder -Ordnern gehören. Dadurch sollten viele PHP-Dateien ausgeschlossen werden und Sie haben nur noch eine Handvoll Dateien zu prüfen.
  • Sortieren Sie die Dateien auf Ihrer Website nach dem Datum der letzten Änderung. Suchen Sie nach Dateien, die innerhalb weniger Monate nach dem Zeitpunkt geändert wurden, an dem Sie festgestellt haben, dass Ihre Website gehackt wurde.
  • Sortieren Sie die Dateien auf Ihrer Website nach Größe. Suchen Sie nach ungewöhnlich großen Dateien.

Schritt 4

Sobald Sie eine Liste mit verdächtigen PHP-Dateien haben, prüfen Sie, ob sie schädlich sind. Wenn Sie mit PHP nicht vertraut sind, kann dieser Vorgang etwas zeitaufwendiger sein. Lesen Sie sich daher die PHP-Dokumentation durch. Wenn Sie noch keine Erfahrung mit dem Programmieren haben, empfehlen wir Ihnen, Hilfe in Anspruch zu nehmen. In der Zwischenzeit gibt es einige grundlegende Muster, anhand derer Sie schädliche Dateien erkennen können.

Wenn Sie ein CMS verwenden und diese Dateien nicht direkt bearbeiten, vergleichen Sie die Dateien auf Ihrem Server mit einer Liste der Standarddateien, die im CMS und in allen Plug-ins und Themen enthalten sind. Suchen Sie nach Dateien, die nicht dazu gehören, sowie nach Dateien, die größer als die Standardversion sind.

Sehen Sie sich zuerst die bereits erkannten verdächtigen Dateien an und suchen Sie nach großen Textblöcken mit einer Kombination aus scheinbar ungeordneten Buchstaben und Zahlen. Dem großen Textblock geht in der Regel eine Kombination aus PHP-Funktionen wie base64_decode, rot13, eval, strrev oder gzinflate voraus.

Hier ein Beispiel für diesen Codeblock: Manchmal ist der gesamte Code in einer langen Textzeile untergebracht, wodurch er kleiner erscheint, als er tatsächlich ist.

// Hackers try to confuse webmasters by encoding malicious code into
// blocks of text. Be wary of unfamiliar code blocks like this.

base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));

Manchmal ist der Code nicht ungeordnet und sieht einfach wie ein normales Script aus. Wenn Sie sich nicht sicher sind, ob der Code fehlerhaft ist, können Sie sich an das Google Search Central-Hilfeforum wenden. Dort kann Ihnen eine Gruppe erfahrener Webmaster bei der Überprüfung der Dateien helfen.

Schritt 5

Nachdem Sie nun wissen, welche Dateien verdächtig sind, erstellen Sie ein Back-up oder eine lokale Kopie, indem Sie sie auf Ihrem Computer speichern, für den Fall, dass eine der Dateien nicht schädlich ist. Löschen Sie dann die verdächtigen Dateien von Ihrer Website.

Prüfen, ob Ihre Website frei von Malware ist

Nachdem Sie die gehackten Dateien entfernt haben, können Sie prüfen, ob sich Ihre harte Arbeit gelohnt hat. Denken Sie noch an die Seiten mit unverständlichen Texten, die Sie zuvor gefunden haben? Verwenden Sie das Tool „Abruf wie durch Google“ noch einmal, um zu prüfen, ob die Seiten noch vorhanden sind. Wenn Sie in „Als Google abrufen“ die Antwort „Nicht gefunden“ erhalten, ist die Wahrscheinlichkeit groß, dass Sie gut aufgestellt sind und mit der Behebung der Sicherheitslücken auf Ihrer Website fortfahren können.

Wie kann ich einen weiteren Hack verhindern?

Der letzte Schritt, um zukünftige Hackerangriffe zu verhindern, besteht darin, Sicherheitslücken auf Ihrer Website zu schließen. Eine Studie hat ergeben, dass 20% der gehackten Websites innerhalb eines Tages noch einmal gehackt werden. Deshalb ist es wichtig herauszufinden, wie genau Ihre Website gehackt wurde. Lesen Sie den Hilfeartikel Die gängigsten Methoden von Spammern beim Hacken von Websites, um mit der Untersuchung zu beginnen.

Wenn Sie nicht herausfinden können, wie Ihre Website gehackt wurde, folgen Sie dieser Checkliste, um die Sicherheitslücken auf Ihrer Website zu verringern:

  • Computer regelmäßig scannen: Verwenden Sie einen gängigen Virenscanner, um Ihren Computer auf Viren oder Sicherheitslücken zu prüfen.
  • Passwörter regelmäßig ändern: Wenn Sie die Passwörter für alle Ihre Websitekonten wie Ihren Hostinganbieter, FTP und CMS regelmäßig ändern, können Sie unbefugte Zugriffe auf Ihre Website verhindern. Es ist wichtig, dass du für jedes deiner Konten ein eigenes, starkes Passwort erstellst.
  • Verwenden Sie die 2-Faktor-Authentifizierung (2FA) oder richten Sie einen Passkey ein: Mit der 2FA und Passkeys wird es Hackern deutlich erschwert, sich anzumelden, selbst wenn sie Ihr Passwort stehlen.
  • Aktualisieren Sie Ihr CMS, Ihre Plug-ins, Erweiterungen und Module regelmäßig: Viele Websites werden gehackt, weil sie veraltete Software verwenden. Einige CMS unterstützen automatische Updates.
  • Abonnieren Sie einen Sicherheitsdienst, um Ihre Website zu überwachen: Es gibt viele gute Dienste, die Ihnen gegen eine geringe Gebühr dabei helfen können, Ihre Website zu überwachen. Es empfiehlt sich, sich bei einem dieser Anbieter anzumelden.

Zusätzliche Ressourcen

Wenn Sie weiterhin Probleme bei der Fehlerbehebung auf Ihrer Website haben, finden Sie hier weitere Ressourcen, die Ihnen weiterhelfen könnten.

Diese Tools scannen Ihre Website und können unter Umständen problematische Inhalte finden. Google unterstützt bzw. nutzt nur VirusTotal.

Diese Scanner können nicht garantieren, dass sie alle Arten von problematischen Inhalten erkennen können. Prüfen Sie die Sicherheit Ihrer Website regelmäßig.

Hier finden Sie weitere hilfreiche Ressourcen: