Wenn du die URL einer Webseite hast, die Malware enthalten soll, kannst du sie per wget oder cURL herunterladen und die heruntergeladenen Dateien mit einem Editor durchforsten. Malware kann sich selbst in Bild-Dateien verstecken.
Ich würde allerdings weniger Zeit mit „Forensik“ verbringen (was recht aufwändig ist, aber im Endeffekt wenig mehr bringt als die Erkenntnis, dass deine Website gehackt wurde), sondern versuchen, die vorhandenen Dateien auszutauschen. Also …
- Backup aller Dateien und der Datenbank,
- getrennte Sicherung der eigenen Uploads,
- dann alle Dateien auf dem Webserver ausnahmslos löschen,
- im Web-Stammverzeichnis eine
index.html mit Hinweis auf dringende Wartungsarbeiten erstellen,
- alle Zugangsdaten (Webhoster, FTP/SSH, MySQL) ändern,
- WordPress neu installieren, Plugins und Theme neu installieren,
- Datenbank mit grep nach JavaScript und iFrames durchsuchen und wiederherstellen,
- Zugangsdaten für alle WordPress-Benutzer zurücksetzen,
- aus den eigenen Uploads alle skalierten Bilder löschen und die Bilddateien mit grep auf base64-verschlüsselten Code prüfen und
- Bilder per FTP hochladen und mit Regenerate Thumbnails erneut skalieren,
- .htaccess durch Einstellen der Permalinks neu anlegen.
Sofern du nicht auf dem Server noch weitere Webanwendungen installiert hast, sollte der Server dann sauber sein und du kannst Google bitten, die Webseiten neu zu prüfen.
Hi @rreimche,
ich habe auch ständig mit dieser Problematik zu kämpfen und ein paar Hinweise in meinen Blog geschrieben.
Kurz zusammengefasst:
Die Seite (bzw., wie von pixolin erwähnt, der gesamte Webspace) sollte komplett sauber und sicher sein. Schadcode, eingeschleuste Links/Skripte und die Ursache müssen behoben sein.
http://aw-snap.info/file-viewer/ würde ich als Scanner noch empfehlen, Stichwort User-Agent und Referrer.
Nach dem Befall sollte eine Neuindexierung in der Search Console angestoßen werden (inkl. Sitemap Einreichung).
Der Google Cache muss vollständig sauber sein.
1-2 Tages später kann man Google um eine erneute Überprüfung bitten.
Wenn die sich weiterhin querstellen, kannst du mit ein bisschen Hartnäckigkeit die Eskalation des Falls in die Malware Fachabteilung erwirken. Manchmal hilft nichts anderes.
Der First Level Support hat da ein entsprechendes Formular für.
Ich hatte es auch schon, dass die Seiten auf einer Ads internen Blacklist gelandet sind.
Da wurden bei deren Scan dann sämtliche internen Links, auf z.B. simple CSS Dateien, als schädlich eingestuft. Sprich deren angewandter Scan hat sich selbst in den Schwanz gebissen, bildlich ausgedrückt.
Hier hilft es dann nur, wenn dies Fachabteilung den Schalter umlegt und die Sperrung manuell aufhebt.
Gruß
Pascal
