Support » Allgemeine Fragen » Findet Google Malware besser als gängige Sicherheitsscanner?

  • rreimche

    (@rreimche)


    Hallo *,

    vor 2 Wochen haben wir entdeckt, dass die Anzeigen in Google abgelehnt werden, weil die Website gehackt war und Script Injections drinnen stehen. Wir haben die Website gereinigt, aber Google findet trotzdem etwas wieder. Wir haben die Website von ihnen und von außen mit den folgenden überprüfen:
    – sucuri
    – wordfence
    – quttera
    – malcare
    – malcure
    – security ninja

    Keiner findet etwas. Trotzdem bleibt Google sicher – die Injections sind noch da. Wir bin fast alle 200 Seiten manuell im Browser durchgegangen und nichts gefunden. Jetzt denke ich darüber nach, einen Crawler zu schreiben, der gezielt auf die schädliche URLs sucht. Google sagt, was das für URLs sind, aber nicht wo sie sind.

    Wie noch können wir die Infektion suchen?

    Mit freundlichen Grüßen
    Roman

Ansicht von 2 Antworten - 1 bis 2 (von insgesamt 2)
  • Moderator Bego Mario Garde

    (@pixolin)

    Wenn du die URL einer Webseite hast, die Malware enthalten soll, kannst du sie per wget oder cURL herunterladen und die heruntergeladenen Dateien mit einem Editor durchforsten. Malware kann sich selbst in Bild-Dateien verstecken.

    Ich würde allerdings weniger Zeit mit „Forensik“ verbringen (was recht aufwändig ist, aber im Endeffekt wenig mehr bringt als die Erkenntnis, dass deine Website gehackt wurde), sondern versuchen, die vorhandenen Dateien auszutauschen. Also …

    • Backup aller Dateien und der Datenbank,
    • getrennte Sicherung der eigenen Uploads,
    • dann alle Dateien auf dem Webserver ausnahmslos löschen,
    • im Web-Stammverzeichnis eine index.html mit Hinweis auf dringende Wartungsarbeiten erstellen,
    • alle Zugangsdaten (Webhoster, FTP/SSH, MySQL) ändern,
    • WordPress neu installieren, Plugins und Theme neu installieren,
    • Datenbank mit grep nach JavaScript und iFrames durchsuchen und wiederherstellen,
    • Zugangsdaten für alle WordPress-Benutzer zurücksetzen,
    • aus den eigenen Uploads alle skalierten Bilder löschen und die Bilddateien mit grep auf base64-verschlüsselten Code prüfen und
    • Bilder per FTP hochladen und mit Regenerate Thumbnails erneut skalieren,
    • .htaccess durch Einstellen der Permalinks neu anlegen.

    Sofern du nicht auf dem Server noch weitere Webanwendungen installiert hast, sollte der Server dann sauber sein und du kannst Google bitten, die Webseiten neu zu prüfen.

    Pascal

    (@kitepascal)

    Hi @rreimche,

    ich habe auch ständig mit dieser Problematik zu kämpfen und ein paar Hinweise in meinen Blog geschrieben.

    Kurz zusammengefasst:

    Die Seite (bzw., wie von pixolin erwähnt, der gesamte Webspace) sollte komplett sauber und sicher sein. Schadcode, eingeschleuste Links/Skripte und die Ursache müssen behoben sein.
    http://aw-snap.info/file-viewer/ würde ich als Scanner noch empfehlen, Stichwort User-Agent und Referrer.

    Nach dem Befall sollte eine Neuindexierung in der Search Console angestoßen werden (inkl. Sitemap Einreichung).
    Der Google Cache muss vollständig sauber sein.

    1-2 Tages später kann man Google um eine erneute Überprüfung bitten.

    Wenn die sich weiterhin querstellen, kannst du mit ein bisschen Hartnäckigkeit die Eskalation des Falls in die Malware Fachabteilung erwirken. Manchmal hilft nichts anderes.
    Der First Level Support hat da ein entsprechendes Formular für.

    Ich hatte es auch schon, dass die Seiten auf einer Ads internen Blacklist gelandet sind.
    Da wurden bei deren Scan dann sämtliche internen Links, auf z.B. simple CSS Dateien, als schädlich eingestuft. Sprich deren angewandter Scan hat sich selbst in den Schwanz gebissen, bildlich ausgedrückt.
    Hier hilft es dann nur, wenn dies Fachabteilung den Schalter umlegt und die Sperrung manuell aufhebt.

    Gruß

    Pascal

Ansicht von 2 Antworten - 1 bis 2 (von insgesamt 2)