Mit Malware infiziertes Webhosting bereinigen


Wurde auf Ihrem Webhosting Malware entdeckt, so gilt es, diese entsprechend zu lokalisieren und danach zu bereinigen. Dieser Artikel dient Ihnen oder Ihrem Webmaster als Hilfestellungen bei der Bereinigung. Zudem gibt es Firmen wie Sucuri welche das Bereinigen Ihrer Website als Dienstleistung anbieten.

Sobald Ihr Webhosting oder Ihre Website infiziert wurde, wird von uns festgestellt, wie schwer die Dateien und Verzeichnisse infiziert wurden und wir kontaktieren Sie. Handelt es sich um eine leichte Infizierung des Webhostings oder der Website, so werden die betroffenen Dateien in Quarantäne verschoben bzw. gesperrt. Bei einer schweren Infizierung mit vielen beteiligten Dateien und Verzeichnissen muss der Zugang zum Webhosting aus Sicherheitsgründen gesperrt und die Schadscripte vor einer erneuten Freischaltung komplett bereinigt werden, damit für Sie und Dritte keine Gefahr von Ihrem Webhosting ausgeht. In solchen Fällen empfehlen wir generell das Neuinstallieren der betroffenen Applikation/en, da es oftmals schwierig ist, das genaue Ausmass der Infektion sicher zu erfassen und alle Lücken zu schliessen.

Computer absichern

In den meisten Fällen verschaffen sich Kriminelle durch Sicherheitslücken von veralteten CMS, Plugins und Themes Zugang zu Ihrem Webhosting. Manchmal gelingt es Ihnen aber auch, durch Spionage auf Ihrem Computer die Zugangsdaten zum Webhosting auszuspionieren. Deshalb ist es wichtig, dass Sie als ersten Schritt alle Computer überprüfen, die Zugang zum Webhosting hatten.

1
Prüfen Sie als Erstes Ihren Computer mit Hilfe des eingebauten Virenschutzes auf Malware. Falls Sie keinen Virenschutz installiert haben, so finden Sie über eine Suchabfrage mit den Stichworten «Antivirenprogramm», «Malware Scanner» oder «Virenschutz» Anbieter solcher Programme, darunter auch OpenSource/Freeware.
2
Ändern Sie alle Passwörter Ihres Webhostings (FTP, SSH, my.cyon, etc.) auf neue und sichere Passwörter ab.

Alte Daten bereinigen

Als Nächstes gilt es, nicht verwendete Daten zu bereinigen, was im besten Fall bereits die infizierten Daten entfernt.

1
Prüfen Sie als Erstes, ob auf Ihrem Webhosting noch Installationen vorhanden sind, welche gar nicht mehr aktiv sind. Machen Sie davon ein lokales Backup, falls die Daten als Archiv noch benötigt werden und entfernen Sie die zur Installation gehörenden Dateien von Ihrem Webhosting.
2
Nutzen Sie ein CMS wie zum Beispiel WordPress oder Joomla, so prüfen Sie bei allen Installationen, ob noch Plugins oder Themes installiert sind, welche gar nicht mehr gebraucht werden oder veraltet sind und entfernen Sie diese.
3
Im nächsten Schritt aktualisieren Sie alle Installationen inklusive Plugins und Themes auf den neusten Stand, um allfällige Sicherheitslücken zu schliessen.
4
In einigen Fällen reichen diese Schritte aus, um infizierte Dateien zu bereinigen. Kontaktieren Sie unseren Support, falls Ihr Webhosting durch uns gesperrt wurde. Wir überprüfen gerne, ob Ihr Webhosting nun wieder sauber ist.

Malware lokalisieren und entfernen

Ist Ihr Webhosting noch nicht sauber oder möchten Sie die getätigten Massnahmen gerne überprüfen, so gilt es nun, den Schadcode zu lokalisieren und zu entfernen. Falls Sie diese Schritte nicht selbst ausführen möchten, kontaktieren Sie einen Webmaster Ihres Vertrauens oder nutzen Sie einen spezialisierten Dienstleister.

1
Prüfen Sie Ihr Webhosting nach neuen, umbenannten oder auffälligen Dateien und Verzeichnissen innerhalb vom Ordner public_html. Vergleichen Sie verdächtige Dateien mit einem Backup.
2
Finden Sie nichts auffälliges, so laden Sie alle Dateien und Verzeichnisse Ihrer Installationen per FTP-Verbindung auf den lokalen Computer.
3
Prüfen Sie diese danach auf Malware mit einer entsprechenden Software. Zum prüfen von einzelnen Dateien können wir den kostenlosen online Scanner «virustotal» empfehlen. Um alle Dateien und Verzeichnisse auf einmal zu prüfen, nutzen Sie den Malware-Scanner Ihres Gerätes. Falls Sie keinen installiert haben, so finden Sie über eine Suchabfrage mit den Stichworten «Antivirenprogramm», «Malware Scanner» oder «Virenschutz» Anbieter solcher Programme, darunter auch OpenSource/Freeware.
4

Konnten Sie die infizierten Dateien ausfindig machen, so wissen Sie nun auch, welche Installationen betroffen sind. Sie können nun die Daten aus einem Backup einspielen und danach Ihr CMS und die installierten Plugins nochmals auf die neuste Version aktualisieren, wie im ersten Abschnitt beschrieben.

Beachten Sie jedoch dass es bei einer partiellen Bereinigung vorkommen kann, dass nicht auffindbare Malwarebestandteile im Hintergrund ein Türchen für Schadsoftware öffnen. Aus diesem Grund empfehlen wir, immer die Installation komplett neu aufzusetzen. Wie Sie dabei vorgehen, beschreiben wir im nächsten Abschnitt.

Installationen komplett neu aufsetzen

Eine zuverlässige Komplettreinigung erreichen Sie nur, indem Sie alle auf Ihrem Webhosting befindlichen Websites komplett neu aufsetzen. Wenn Sie folgende Schritte befolgen, hält sich der Aufwand in Grenzen.

Falls Sie WordPress einsetzen, so beschreiben wir das Vorgehen ausführlich im Artikel «WordPress-Seite neu aufsetzen».
1
Export der Inhalte und Mediendaten aus Ihrem CMS. Dazu stellen die meisten Anbieter entsprechende Anleitungen zur Verfügung.
2
Machen Sie zusätzlich noch ein Backup der kompletten Website (Dateien und Datenbank).
3
Notieren Sie sich die Konfigurationen der einzelnen Webseiten, wie zum Beispiel installierte Plugins, Module oder Themes, die benötigt werden.
4
Nun löschen Sie den kompletten Inhalt des Ordners public_html über eine FTP-Verbindung, den Dateimanager oder per SSH.
5
Überprüfen Sie nun die exportierten Mediendaten auf verdächtige Dateien. Auch dabei finden Sie meist gute Hilfe im Support-Bereich der jeweiligen CMS-Anbieter.
6
Installieren Sie nun die aktuellste Version von Ihrem CMS.
Eine Auswahl der meist verwendeten Applikationen können ganz bequem mit wenigen Klicks unter «Apps» in Ihrem my.cyon installiert werden.
7
Installieren Sie danach die benötigen Plugins, Module und Themes in den aktuellsten Versionen.
8
Zum Schluss spielen Sie nun die exportierten Mediendateien und die Inhalte wieder zurück und kontaktieren Sie unseren Support, damit wir Ihr Webhosting überprüfen und wieder freigeben können.
Weitere Artikel zum Thema Technisches Weitere Artikel zum Thema Produkte