Netzprogrammierer.de

Malwarewarnung von Google und Browsern

Was passiert, wenn Google Malware entdeckt

Im Artikel über die Deaktivierung von JavaScript habe ich bereits darauf hingewiesen, das über JavaScript Malware auf dem Rechner des Benutzers installiert werden kann. Ist dies geschehen und der Google-Bot erkennt das schädliche Script, ist die Seite nicht mehr über die Google-Suche aufrufbar:

Malwarewarnung in der Google-Suche

Des Weiteren landet die Seite auf einer Blacklist und die gängigen Browser warnen dann den Benutzer beim Aufruf Eurer Seite:

Malwarewarnung im Chrome-Browser

Was ist zu tun?

Als erstes solltet Ihr Eure Internetseite überprüfen, indem Ihr in den Quelltext aller(!) Seiten und Unterseiten schaut. Befindet sich dort JavaScript-Code der dort nicht hingehört, oder den Ihr nicht kennt, ist die Wahrscheinlichkeit groß, dass dies das Problem ist.

Als nächstes solltet ihr die Herkunft des Problems lokalisieren. Das ist nicht so einfach: Betreibt ihr einen eigenen Server, ist meist veraltete Software das Problem. Ungepatchte Sicherheitslücken sind oft Einfallstore, um Eure Webseite zu manipulieren. Auch die Serverlogs können Aufschluss über einen evtl. vorliegenden Angriff geben.

Seid Ihr bei einem Provider, wendet Euch an die Support-Hotline und meldet den Vorfall! Ist dieser Informiert wird er (hoffentlich) seine Server überprüfen.

Ein Tip: Ruft nachts an, dann sind die Hotline-Studenten am schlafen und es hat meist ein fähigerer IT-Fachmann „Notdienst“ ;-)

Ihr solltet auch überprüfen, ob es evtl. FTP-Zugänge gibt, die mit einem unzureichenden Passwort geschützt sind. Überlegt auch, ob ihr euch kürzlich über eine unverschlüsselte FTP-Verbindung, über ein öffentliches WLAN, oder Firmennetz eingewählt habt. Dort könnten die Zugangsdaten mitgelesen worden sein.

Sicherheitshalber solltet Ihr alle FTP-Passwörter ändern (auf ein Sicheres Passwort) und falls möglich auf das verschlüsselte SFTP Protokoll umsteigen. Das die FTP-Passwörter weder im FTP-Programm, noch im Browser gespeichert werden dürfen, sollte selbstverständlich sein.

Benutzt Ihr ein CMS, überprüft auch dieses auf Aktualität der Software!

Ist alles erledigt entfernt den schädlichen Code aus Euren Dateien, oder spielt ein unverseuchtes Backup (Welches natürlich stets, in regelmäßigen Abständen angefertigt wurde!) auf.

Warten, oder Handeln?

Wenn Ihr sicher seid, das die Malware von allen(!) euren Seiten entfernt ist, könnt Ihr über die Google Webmastertools eine erneute Malwareüberprüfung anfordern.

Solltet Ihr keinen Zugriff auf die Webmaster-Tools bekommen, oder keine Zeit haben Euch Diesen einzurichten, dann heißt es warten bis der Google-Bot erneut vorbei schaut und keine Schadsoftware mehr vorfindet.

Dieses Vorgehen empfehle ich aber ausdrücklich nicht!

Zum einen verliert Ihr in der „Sperrzeit“ wertvolle User, das Image eurer Seite leidet und das Ranking in den Suchmaschinen wahrscheinlich auch.

Deswegen kann die Devise nur lauten: Handelt schnell!