Als attackierend gemeldete Webseite! – Was tun?

Immer wieder kommt es vor, dass Webseiten von Browsern als attackierend gemeldet und angezeigt werden. Das Öffnen ist dann nur noch möglich, indem man eine Warnmeldung explizit ignoriert. Um diese Meldung wieder loszuwerden, gibt es mehrere Möglichkeiten.

Als attackierend gemeldete Webseite!

Bevor man etwas dagegen tut, sollte man wissen, dass keineswegs die Browser selbst eine attackierende Webseite erkennen. Viel eher sind es große Suchmaschinen wie Google, die mit ihren Suchmaschinen-Robotern solche Webseiten aufspüren und dementsprechend sperren. Die Browser laden sich dann diese Liste der zu blockierenden Webseiten und geben eine entsprechende Meldung aus, wenn man sich zu einer Domain verbinden will, die in dieser Liste vorhanden ist.

Um seine gemeldete Webseite zu bereinigen, muss man mehrere Dinge tun und beachten.

Passwörter ändern

Sehr oft geschehen Angriffe über FTP oder ähnliche Protokolle. Damit ist es notwendig, sofort hier die Passwörter zu ändern. Aber auch der Angriff über das Kontrollpanel ist möglich, wodurch unter Umständen auch alle Passwörter für den Angreifer offenliegen. Sicherheitshalber sollten deshalb alle Passwörter für den Webspace geändert werden – mit so vielen Zeichen wie möglich.

Hoster informieren

Der Hoster kann im Normalfall sehr dabei helfen, das eigentliche Problem und damit auch die Sicherheitslücke zu finden. Über das Auswerten der Log-Dateien ist es ihm möglich, nachzuvollziehen, wie der Angreifer auf den Webspace kam. Außerdem ist es ihm möglich zu sehen, ob noch weitere Kunden von diesem Problem betroffen sind oder sogar die Einschleusung des Schadcodes über ein anderes Kundenkonto geschah.

Hierbei merkt man auch, ob es sich um einen seriösen Hoster handelt, der sein Handwerk versteht, oder nicht.

Betroffene Dateien säubern

Die meisten Skripte, die Schadcode einführen, funktionieren gleich und laden Inhalt sowohl in die Index-Datei (index.html, index.php) sowie in die JavaScript-Dateien. Möglich ist aber auch, dass alle PHP-Dateien betroffen sind. Hilfreich ist hier die Sortierung nach der letzten Änderung einer Datei. Hier sieht man, welche Dateien dann von dem Skript betroffen sind. Der Schadcode sieht dann normalerweise immer gleich aus, so dass er einfach aus allen Dateien entfernt werden kann.

Hilfreich ist hier auch ein Datenbackup aus zwei Gründen:
Einerseits kann hier verglichen werden, wie eine betroffene Datei im Vergleich zum Original aussieht, andererseits kann man das komplette Backup wiederherstellen und so jegliche betroffene Dateien problemlos austauschen. Oftmals macht das auch ein Hoster direkt, sofern Schadcode auf dem Webspace gemeldet wurde.

Säubern sollte man die Dateien jedoch erst dann, wenn die Sicherheitslücke auch wirklich gefunden und geschlossen wurde. Andernfalls ginge alles gleich wieder von vorne los.

Google & Co. informieren

Wie bereits eingangs erwähnt, nutzen die Browser entsprechende Listen von großen Suchmaschinen. Diese muss man nach der Säuberung der Daten wieder informieren, um seine Domain schnellstmöglich wieder von der Liste der zu blockierenden Webseiten zu entfernen. Bei Google geht das über die Google Webmaster-Tools. Äquivalente Werkzeuge gibt es auch von Bing oder Yahoo.
Man muss dann die Domain lediglich erneut prüfen lassen, die Meldung sollte dann innerhalb von 24 Stunden nicht mehr erscheinen.

Bei all diesen Schritten sollte man immer höchst vorsichtig sein und sie Schritt für Schritt und mit bestem Wissen und Gewissen durchführen, denn es geht nicht nur um die eigene Webseite, sondern oftmals auch um Benutzerdaten seiner Benutzer. Eine entsprechende Verantwortung hat man als Administrator.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.