Mit einer gehackten Website wird nicht nur Ihnen als Webseiten-Betreiber geschadet, sondern auch Dritten, z.B. in Form von Viren, Trojanern oder anderer Schadsoftware. Wie Sie einen Hack erkennen und was Sie im Fall der Fälle sofort tun sollten lesen Sie hier.
Inhaltsverzeichnis
Wie erkenne ich, dass meine Website gehackt wurde?
Um zu erkennen ob Ihre Website gehackt wurde, überprüfen Sie regelmäßig alle Funktionen und die korrekte Darstellung Ihrer Website. Wir empfehlen Ihnen, ihre Webseite mindestens einmal pro Monat kurz zu kontrollieren, um festzustellen, ob alles wie gewünscht funktioniert. Dabei können Sie gleich zwei Fliegen mit einer Klappe schlagen und kontrollieren, ob alle Informationen auf Ihrer Seite aktuell sind.
Moderne Browser können Ihnen ebenfalls einen Hinweis geben, dass Ihre Webseite gehackt wurde. Hier sehen Sie die entsprechende Meldung in den Browsern Firefox und darunter Chrome:
Ziele des Hackers
Ein Hackerangriff verfolgt immer ein bestimmtes Ziel. Ich möchte hier zwei mögliche Ziele von Hackern vorstellen.
Defacement
Beim Defacement geht es darum, anderen Hackern zu zeigen, wie viele oder wie große Seiten ein Hacker einnehmen kann. Das geschieht, indem man die eigentliche Webseite durch eine andere Webseite ersetzt oder den Inhalt ändert.
Hijacking
Beim Hijacking geht es nicht darum, den Zugriff auf eine bestimmte Seite für andere sichtbar zu machen, sondern andere Inhalte als nur die Webseite selbst and den Besucher auszugeben. Auf diese Art und Weise kann z.B. Malware auf viele Computer verteilt werden.
Was ist zu tun?
1. Webseite offline schalten und vom Netz nehmen
Mit Hilfe des Passwortschutzes stellen Sie sicher, dass die Besucher Ihrer Webseite keinen Schaden mehr nehmen.
Wie Sie für Ihre Webseite einen Passwortschutz einrichten, können Sie im Artikel Verzeichnisschutz mit htaccess nachlesen.
2. Passwörter zurücksetzen
Wenn Sie einen Angriff festgestellt haben, wissen Sie noch nicht, über welchen Weg der Angreifer in Ihre Webseite eingebrochen ist. Aus diesem Grund ist es wichtig, dass Sie alle Passwörter, die mit Ihrer Webseite zu tun haben, ändern. Damit wird sichergestellt, dass der Angreifer sich nicht einfach z.B. per FTP einloggen kann, um Ihre Daten anzupassen.
Hier finden Sie eine Liste von Systemen, die Passwörter für Ihre Webseite nutzen:
- FTP Service
- SSH Service
- MySQL Datenbank
- htaccess Passwortschutz
- Content Management System (Joomla, WordPress, Typo3, Drupal, und weitere)
- Online-Shop System (Shopware, PrestaShop, Magento, Oxid, und weitere)
- Foren Software
Wichtig ist, dass nach einem Hackerangriff jedes einzelne Passwort jedes Benutzers Ihrer Webseite geändert werden muss. Sonst laufen Sie Gefahr, dass sich der Angreifer nach der erfolgreichen Wiederherstellung und trotz der Beseitigung der Sicherheitslücke mit dem Ihm bekannten alten Passwort in Ihr System einloggen kann.
3. Daten zur Analyse sichern
Damit herausgefunden werden kann, wie der Angreifer auf Ihre Dateien zugreifen konnte, ist es nötig, dass Sie Ihre FTP-Daten, einen Datenbankdump und wenn möglich die Logdateien für Ihre Webseite herunterladen und speichern.
FTP-Daten
Um Ihre FTP-Daten herunterzuladen, nutzen Sie ein FTP Programm. Falls Sie bisher noch kein FTP Programm benutzt haben, empfehle ich Ihnen FileZilla. Das Programm ist kostenlos und kann von der Projektseite https://filezilla-project.org/ heruntergeladen werden. Weitere Informationen zur Benutzung eines FTP-Clients finden Sie in unserem Artikel Zugriff auf Ihren Webspace per FTP.
MySQL Datenbank Dump
Um einen Datenbank Dump Ihrer MySQL Datenbank zu erstellen, ist es sinnvoll, das Programm phpMyAdmin zu nutzen. Die meisten Webhoster bieten Ihnen einen Zugang zu einer solchen Verwaltungssoftware für Datenbanken an.
Falls das nicht der Fall sein sollte, können Sie schnell und einfach mit dem MySQLDumper (http://www.mysqldumper.de/) arbeiten. Eine Schritt-für-Schritt Anleitung finden Sie in unserem Artikel Datenbankdump mit MySQLDumper erstellen.
4. Backup wiederherstellen
Als Backup bezeichnet man allgemein eine Sicherheitskopie wichtiger Daten. Ein Backup Ihrer Webseite enthält alle Dateien, die für den Inhalt, die Darstellung und die Funktionen Ihrer Webseite nötig sind. Damit kann Ihre Webseite mit relativ geringem Aufwand auf den Stand des Backups "zurückversetzt" werden.
Backups sind ein leidiges Thema, denn man möchte sie natürlich nicht brauchen. Das Erstellen und Verwalten von Backups bedeutet Aufwand und Speicherplatzverbrauch ohne dass es einen direkten Vorteil bringt. Im Fall einer gehackten Website ist ein Backup jedoch äußerst wertvoll! Deshalb raten wir Ihnen, regelmäßige Backups Ihrer Website zu erstellen. Sie können diese Backups entweder manuell erstellen und auf Ihrem Computer speichern oder Sie erkundigen sich bei Ihrem Webhoster, ob er Backups für Sie erstellt und speichert. Wir zum Beispiel bieten für unsere Hostingkunden für nur 5€ pro Monat einen Backup Service an.
Wenn Sie ein Backup Ihrer Webseite haben, das bis vor den Angriff zurück reicht, können Sie diese Dateien als Basis nutzen, um die Sicherheitslücke zu schließen und anschließend Ihre Webseite wieder online zu stellen.
5. Einbruch untersuchen und Lücke finden
Es ist wichtig, nach einem Hackerangriff die vom Hacker genutzte Sicherheitslücke zu finden und sie zu schließen. Erst danach ist es sinnvoll, die Webseite wieder online zu stellen. Ansonsten kann die vermeintlich bereinigte Webseite über dieselbe Sicherheitslücke wieder kompromittiert werden.
Der Einbruch kann untersucht werden, indem man die einzelnen Dateien analysiert und diejenigen aussortiert, die nicht Teil Ihres Webauftrittes sind. Weiterhin sind hierfür die zuvor gesicherten Logdateien des Webservers hilfreich, weil diese Aufschluss darüber geben können, über welchen Weg der Angreifer Zugang zum System bekommen hat.
Erst wenn Sie sicher sind, dass Sie alle infizierten Dateien Ihrer Seite gefunden und bereinigt haben, können Sie mit dem nächsten Schritt fortfahren.
6. Webseite gegen Angriffe absichern
Um Angriffen auf Ihre Website vorzubeugen, ist es sinnvoll, in regelmäßigen Abständen die verfügbaren Sicherheitsupdates für die eingesetzte Software zu installieren. Das können Sie entweder manuell selber machen oder wahlweise können Sie auch auf gemanagte Webhosting-Angebote zurück greifen. Dabei kümmert sich der Hoster um die genannten Updates und Sie müssen sich nicht darum kümmern.
Falls Sie ein CMS System wie WordPress, Joomla!, Typo3 oder Drupal nutzen, ist es sinnvoll, zu prüfen ob Ihre Webseite auf dem aktuellsten Stand der Softwareversion läuft. Zudem sollten Sie auch darauf achten, dass alle Plugins aktuell sind. Erst dann sind alle Sicherheitsupdates installiert und Sie sind besser gegen weitere Angriffe geschützt. Achten Sie dabei auch darauf, dass Themes auch auf dem aktuellen Stand sind, sowohl aktive als auch inaktive.
Schauen Sie sich unsere Webhosting Pakete an. Wir bieten zu jedem Webhosting-Paket auch ein entsprechendes Management an. In jedem Hosting-Paket ist mindestens eine freie Domain, PHP, MySQL und ein Mail Setup für Ihre Domain inbegriffen.
7. Suchmaschinen benachrichtigen
Um die "Malware" Meldung in den Browsern möglichst schnell zu entfernen, ist es nötig, die großen Suchmaschinen darüber zu informieren, dass die Webseite bereinigt wurde. Bei Google ist das über die Google Webmaster-Tools möglich. Bei Bing analog über die Bing Webmaster-Tools. Falls Sie Ihre Webseite dort noch nicht registriert haben ist das sehr sinnvoll, weil damit sichergestellt wird, dass Ihre Seite im Index der Suchmaschinen landet.
Genauere Informationen zur Bereinigung einer WordPress Webseite
Sie nutzen WordPress als CMS und wurden gehackt? Hier gibt es ausführlichere Informationen und Codeschnipsel zur Bereinigung!