Als attackierend gemeldete Webseite! - Was tun?

Achtung: Diese Seite ist nur noch Teil eines Archivs und wird in Zukunft entfernt.

Immer wieder kommt es vor, dass Webseiten von Browsern als attackierend ausgegeben werden. Das Öffnen ist dann nur noch möglich, indem man eine Warnmeldung explizit ignoriert. Um diese Meldung wieder loszuwerden, gibt es mehrere Möglichkeiten.

Bevor man etwas dagegen tut, sollte man wissen, dass keineswegs die Browser selbst eine attackierende Webseite erkennen. Viel eher sind es große Suchmaschinen wie Google, die mit ihren Suchmaschinen-Robotern solche Webseiten aufspüren und dementsprechend sperren. Die Browser laden sich dann diese Liste der zu blockierenden Webseiten und geben eine entsprechende Meldung aus, wenn man sich zu einer Domain verbinden will, die in dieser Liste vorhanden ist.

Um seine Webseite zu bereinigen, muss man mehrere Dinge tun und beachten.

Passwörter ändern
Sehr oft geschehen Angriffe über FTP oder ähnliche Protokolle. Damit ist es notwendig, sofort hier die Passwörter zu ändern. Aber auch der Angriff über das Kontrollpanel ist möglich, wodurch u.U. auch alle Passwörter für den Angreifer offenliegen. Sicherheitshalber sollten deshalb alle Passwörter für den Webspace geändert werden - mit mindestens 8 Zeichen inklusive Klein-, Großbuchstaben, Zahlen und Sonderzeichen.

Hoster informieren
Der Hoster kann im Normalfall sehr dabei helfen, das eigentliche Problem und damit auch die Sicherheitslücke zu finden. Über das Auswerten der Log-Dateien ist es ihm möglich, nachzuvollziehen, wie der Angreifer auf den Webspace kam. Außerdem ist es ihm möglich zu sehen, ob noch weitere Kunden von diesem Problem betroffen sind oder sogar die Einschleusung des Schadcodes über ein anderes Kundenkonto geschah.

Hierbei merkt man auch, ob es sich um einen seriösen Hoster handelt, der sein Handwerk versteht, oder nicht.

Betroffene Dateien säubern
Die meisten Skripte, die Schadcode einführen, funktionieren gleich und laden Inhalt sowohl in die Index-Datei (index.html, index.php) sowie in die JavaScript-Dateien. Möglich ist aber auch, dass alle PHP-Dateien betroffen sind. Hilfreich ist hier die Sortierung nach der letzten Änderung einer Datei. Hier sieht man, welche Dateien dann von dem Skript betroffen sind. Der Schadcode sieht dann normalerweise immer gleich aus, so dass er einfach aus allen Dateien entfernt werden kann.

Hilfreich ist hier auch ein Datenbackup aus zwei Gründen:
Einerseits kann hier verglichen werden, wie eine betroffene Datei im Vergleich zum Original aussieht, andererseits kann man das komplette Backup wiederherstellen und so jegliche betroffene Dateien problemlos austauschen. Oftmals macht das auch ein Hoster direkt, sofern Schadcode auf dem Webspace gemeldet wurde.

Säubern sollte man die Dateien jedoch erst dann, wenn die Sicherheitslücke auch wirklich gefunden und geschlossen wurde. Andernfalls ginge alles gleich wieder von vorne los.

Google & Co. informieren
Wie bereits eingangs erwähnt, nutzen die Browser entsprechende Listen von großen Suchmaschinen. Diese muss man nach der Säuberung der Daten wieder informieren, um seine Domain schnellstmöglich wieder von der Liste der zu blockierenden Webseiten zu entfernen. Bei Google geht das über die Google Webmaster-Tools. Äquivalente Werkzeuge gibt es auch von Bing oder Yahoo.
Man muss dann die Domain lediglich erneut prüfen lassen, die Meldung sollte dann innerhalb von 24 Stunden nicht mehr erscheinen.


Bei all diesen Schritten sollte man immer höchst vorsichtig sein und sie Schritt für Schritt und mit bestem Wissen und Gewissen durchführen, denn es geht nicht nur um die eigene Webseite, sondern oftmals auch um Benutzerdaten seiner Benutzer. Eine entsprechende Verantwortung hat man als Administrator.
Über den Autor
Ich bin Webentwickler in Stuttgart und administriere Server seit vielen Jahren. In diesem Blog erstelle ich hauptsächlich Tutorials für andere Webentwickler, Webdesigner und Serveradministratoren.
-------------------------------------------------------------------------------------------------------------------------------------
I’m a web developer in Stuttgart, Germany, and server administrator since many years. This blog mainly contains a tutorial set for other web developer, web designer and server administrators.

6.566 mal gelesen

Kommentare 2

  • BinSauer -

    Google meldet manchmal falsche Seiten als attackierend!!
    Eine Webseite von mir wurde als attackierend eingestuft - dieser Schwachsinn zeigt sich alleine schon durch die Tatsache, dass von 3 Domain-Namen seit längerer Zeit nur ein einziger Namen als attackierend gemeldet wird, obwohl alle Namen den gleichen Domain bzw. Webserver beinhalten.
    Also schlicht falsch!! Mehere Meldungen an Google brachten nichts, deshalb wird Google von meinen Webseiten in der robots.txt ausgeschlossen und nicht mehr benutzt. Mittlerweile haben sich bereits mehrere IT-Sicherheitsfirmen für meine Probleme interessiert - deshalb poste ich auch nicht mehr den/die Links, denn nun will ich diesen Zustand möglichst lange erhalten - man kann auch damit etwas verdienen!

  • CIA JOE -

    Das wird für den ein oder anderen sicher sehr hilfreich sein. :)