Typ der Malware-Infizierung: Serverkonfiguration

Was bedeutet es, wenn URLs mit dem Malware-Infizierungstyp "Serverkonfiguration" in der Search Console markiert sind?

Dies bedeutet, dass ein Hacker Ihre Website manipuliert hat und die Besucher von Ihrer sauberen Website auf dessen Malware-Angriffs-Website umleitet. Dies geschieht wahrscheinlich durch eine Modifizierung Ihrer Serverkonfigurationsdatei(en). Der Administrator einer Website verwendet die Konfigurationsdateien des Servers üblicherweise dazu, URL-Umleitungen auf bestimmte Seiten oder Verzeichnisse einer Website festzulegen. Auf Apache-Servern sind dies die Dateien "htaccess" sowie "httpd.conf".

Weitere allgemeine Informationen zu Malware finden Sie unter Schadensbeurteilung (Malware).

Wie kann ich das Weiterleitungsverhalten des Malware-Typs "Serverkonfiguration" feststellen?

Zunächst vermeiden Sie, einen Browser zum Aufrufen von infizierten Seiten Ihrer Website zu verwenden. Da Malware sich oft über Schwachstellen in Browsern ausbreitet, könnten Schäden an Ihrem Computer auftreten, wenn eine mit Malware infizierte Seite in einem Browser geöffnet wird.

Sie können das Verhalten überprüfen, indem Sie mit cURL oder Wget HTTP-Anfragen (z. B. um eine Seite aufzurufen) durchführen. Diese kostenlos verfügbaren Tools helfen bei der Diagnose von Weiterleitungen und können sowohl Informationen zum Referrer als auch zum User-Agenten beinhalten. Dadurch, dass schädliche Inhalte nur an Nutzer mit spezifischen User-Agenten oder Referrern gesendet werden, können Hacker mehr "echte Menschen" erreichen und vermeiden, von Websitebetreibern und Malware-Scannern erkannt zu werden. Ihre Website muss online sein, damit Sie diese Tools verwenden können. Zum Beispiel:

$curl -v --referer <referer-field> --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" </your-infected-url>
z. B.
$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" http://ihremusterdomain.de/page.html
Bei Abruf einer Seite mit dem Infizierungstyp "Serverkonfiguration" könnte die Kopfzeile folgendermaßen aussehen:
…
< HTTP/1.1 301 Moved Permanently
< Date: Sun, 24 Feb 2013 21:06:45 GMT
< Server: Apache
< Location: http://<malware-attack-site>/index.html
< Content-Length: 253
...

 

Wie bereinige ich meine Website vom Malware-Typ "Serverkonfiguration"?

Sie können sich durch Shell/Terminal-Zugang auf Ihrem Server anmelden und die betreffenden Serverkonfigurationsdateien überprüfen. Dabei kann die Website ggf. auch offline sein. Auf einer von einem Hacker modifizierten Website kann mehr als eine Serverkonfigurationsdatei vorhanden sein. Überprüfen Sie diese Dateien auf unerwünschte Befehle wie Weiterleitungen, über die Hacker Ihre Website konfigurieren können, sodass Nutzer auf unbekannte Malware-Angriffs-Websites weitergeleitet werden. Zum Beispiel in der Datei "htaccess":

RewriteEngine On 
RewriteCond %{HTTP_REFERER} .*google.* 
RewriteRule ^third-page.html($|/) http://<malware-site>/index.html [R=301]
Außerdem:
  • Achten Sie darauf, die gesamte Datei zu überprüfen, für den Fall, dass der Hacker den Code am Ende der Datei eingefügt hat, wo er leichter zu übersehen ist.
  • Untersuchen Sie vom Hacker erstellte potenzielle Cron-Aufträge, die dazu dienen, die Datei "htaccess" fortlaufend zu aktualisieren. Cron-Aufträge können an verschiedenen Stellen aufgelistet sein, zum Beispiel unter /etc/crontab (auch in zahlreichen /etc/cron*-Verzeichnissen) und /var/spool/cron.

Wenn Sie zum Bereinigen Ihrer Website bereit sind, können Sie entweder die Serverkonfigurationsdateien mit einer sauberen Sicherung ersetzen oder den unerwünschten Code aus der bestehenden Datei entfernen. Starten Sie Ihren Webserver neu, falls dies zur Aktivierung Ihrer neuen Konfigurationsdateien erforderlich ist.

Die Bereinigung des Malware-Typs "Serverkonfiguration" ist bei der Wiederherstellung einer gehackten Seite hilfreich. Hierbei wird jedoch nicht die zugrunde liegende Schwachstelle beseitigt, die es dem Hacker ermöglichte, Ihre Website zu gefährden. Sie könnte erneut zum Angriffspunkt werden. Weitere Informationen zum Bereinigen Ihrer kompletten Website finden Sie unter Hacked with malware (Gehackte Websites mit Malware) in der Hilfe für gehackte Websites.

War das hilfreich?
Wie können wir die Seite verbessern?