Was tun, wenn Malware-/Phishing-Seiten endeckt wurden?

Wie finde ich die Malware?

Unter den folgenden Links, finden Sie verschiedene Plugins/Programme zur Erkennung von Malware.

http://www.stopbadware.org/common-hacks
http://docs.joomla.org/Vulnerable_Extensions_List
http://itpixie.com/2012/06/wordpress-exploit-alert-uploadify-php/#.UMtXiayundE
http://wordpress.org/extend/plugins/exploit-scanner/ 
http://wordpress.org/extend/plugins/antivirus/
 
http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection
 
http://drupal.org/project/clamav

Beispiele was Malware macht:

- Index Dateien werden manipuliert, Javascript oder PHP Code wird am Ende eingefügt.

- Häufig wird der Code so verschleiert (obfuscated), dass ein menschlicher Betrachter nicht mehr nachvollziehen kann, was dort geschieht.

Beispiel Javascript (gibt „hello world" aus):


- .htaccess Dateien werden erstellt, um auf andere Seiten weiterzuleiten.

Mögliche Folgen für Sie und Ihre Websei­ten­be­sucher

- Es wird Malware auf Computern Ihrer Webseitenbesucher installiert
- Es wird Phishing/Spamvertised Content (http://en.wikipedia.org/wiki/Spamvertising) gehostet
- Ihr Webhosting-Paket wird zum Spamversand missbraucht
- Es werden Angriffe (DOS, Brute Force, etc.) auf andere Server von Ihrer Website gestartet

Malware entfernen

Da eine Beseitigung von Malware sehr unterschiedlich sein kann, können wir hier nur allgemeine Hinweise geben.

- Solange die Malware nicht komplett entfernt ist, sollten Sie die Seite offline stellen, um Ihre Kunden/Besucher zu schützen. 
Am besten übergangsweise auf einen anderen leeren Ordner zeigen lassen. Weitere Möglichkeiten sind z.B. per .htaccess 
oder Domainweiterleitung auf eine andere Domain zu verweisen.

FTP-Passwort ändern. Das FTP Passwort auf gar keinen Fall mehr im FTP Client speichern.
Gegebenenfalls auch andere Passwörter (z.B. E-Mail oder checkdomain Passwort) ändern,
wenn Zweifel bestehen.

- Alle Computer, die sich per FTP verbunden haben, auf Viren kontrollieren oder ggf. neu installieren. 

Ob Sie ihren PC neu installieren liegt natürlich in Ihren Ermessen. Wenn sich allerdings Viren auf dem PC befinden, 
ist es häufig schwer diese komplett zu entfernen. Nicht selten hat man nach einer kurzer Zeit ähnliche Probleme.


- CMS (Software wie Wordpress oder Joomla) und Plugins aktualisieren. Eventuell veraltete Software, 
welche nicht mehr aktualisiert wird, deinstallieren.

- Dateien auf Malware kontrollieren und entfernen. 

-.htaccess Dateien kontrollieren.

- Alles zu löschen und eine komplette Neuinstallation zu vollziehen, ist der sicherste Weg, aber nicht immer nötig/möglich.

- Falls vorhanden, kann auch das Einspielen eines Backups einem viel Arbeit abnehmen. Das Backup muss 
natürlich angelegt worden sein, als der Webspace noch nicht infiziert war.

- Den Schadcode komplett zu entfernen oder eine CMS Sicherheitslücke zu schließen ist nicht immer einfach. 

Möchte man nicht alles löschen und die Seite neu aufbauen, empfiehlt es sich gegebenenfalls, einen externen 

Experten zu beauftragen oder in Antivirenforen nachzufragen/sich zu informieren. 
(Checkdomain bietet diese Dienstleistung nicht an!)


- Eine Google Safe Browsing Warnung lässt sich am einfachsten über die Google Webmaster Tools entfernen 
(http://support.google.com/webmasters/bin/answer.py?hl=de&hlrm=en&answer=163634)