Für Webdesigner und Webmaster: Anleitung und Hilfe für das Entfernen eines Virus auf meiner Homepage

Dieser Artikel beschreibt das Vorgehen zur Entfernung von Schade-Code/Viren von einer Homepage. Als Webdesigner und Webmaster hast du viel Liebe in Design und Programmierung deiner Internetseite gesteckt und nun scheint deine Homepage erfolgreich angegriffen oder infiziert worden zu sein: Wie solltest du dich als Webmaster verhalten? Und wie erkennst du überhaupt einen Angriff bzw. die Infektion deiner Webseite? Mögliche Hinweise für einen Angriff auf deine Webseite, wenn:

  • Besucher berichten, dass Virenscanner beim Besuch der Webseite angeschlagen haben
  • Google vor dem Besuch deiner Internetseite warnt
  • Browser wie Firefox vor dem Betreten deiner Internetseite warnen
  • es Veränderungen an der Webseite gibt, welche nicht von den Webmastern stammen

Nehme diese Hinweise in jedem Falle ernst: Denn du als Seitenbetreiber trägst die rechtliche Verantwortung für deine Internetseite. Und auch unter moralischen Standpunkten solltest du dafür Sorge tragen, dass deine Internetseite nicht das Leben anderer Leute negativ beeinflusst, indem sich Besucher deiner Internetseite mit Computer-Viren infizieren, welche z.B. deren Daten stiehlt.

Besuche deine Webseite nicht sofort, schließlich vermutest du eine Infektion!
Auch du solltest deine Internetseite möglichst nicht aufrufen, zumindest nicht mit deinem Produktiv-System, also deinem Computer. Nutze stattdessen lieber eine Virtuelle Maschine: Virtuelle Maschinen (VM) laufen auf Systemen wie Windows und können ein zweites, unabhängiges System parallel betreiben, wie z.B. ein weiteres Windows – getrennt von deinem Hauptsystem, ist die mögliche Infektion einer Virtuellen Maschine ein durchaus hinnehmbares Übel. Kostenlos kansnt du ein VM-System hier herunterladen: https://www.virtualbox.org/

Nach der VM-Installation musst du zunächst eine neue Virtuelle Maschine anlegen und darin Windows installieren. Einen Produkt-Key benötigst du dafür nicht, eine kostenfreie 30-Tage Windows Test-Version genügt für unsere Zwecke. Nach der Installation lasse das virtuelle Windows zunächst alle Updates herunterladen. Anschließend gehe in der VM wie folgt vor:

  • Installiere ein FTP-Programm, z.B. das kostenlose FileZilla
  • Lade damit deine komplette Internetseite herunter
  • Installiere G-Data AV (30-Tage Testversion) und lade alle Updates

Wenn dein Windows alle Updates geladen hat und G-Data Anti Virus alle Signaturen aktualisiert hat, lasse das Verzeichnis, in welches du deine Webseite via FTP Übertragen hast, durch G-Data überprüfen (Rechte Maustaste „Auf Viren überprüfen“). Sollte ein Schadcode Teil deiner Internetseite sein, ist es sehr wahrscheinlich, dass der Virenscanner jetzt anschlägt. In diesem Fall werden dir die betroffenen Dateien angezeigt, beispielsweise „meine-seite.php“ oder „mein-script.js“. Nun gibt es drei Möglichkeiten:

  • Du ersetzt die infizierte Datei durch ein gespeichertes nicht infiziertes Original (empfohlen)
  • Du entfernst den Schadcode manuell (empfohlen)
  • Du überlässt die Entfernung dem Virenscanner

Nach dem Entfernen des Schadcodes ersetzt du die desinfizierte Datei auf deinem Web-Server wieder via FTP, also z.B. mit FileZilla.
Installiere FireFox auf deiner Virtuellen Maschine; achte darauf, dass es sich um die aktuellste FireFox-Version handelt.

Besuche jetzt deine Internetseite. Navigiere dich sorgsam durch sämtliche Einzelseiten deiner Internetpräsenz. Benutze alle Funktionen, beispielsweise Kontaktformulare. Schlägt dein Virenscanner nun nicht mehr an, ist dies ein gutes Zeichen. Wenn du mehr Sicherheit willst, schließe den Browser und deinstallieren G-Data. Installiere einen weiteren Virenscanner, z.B. von McAfee, Symantec oder F-Secure (aber bitte nicht zwei Virenscanner parallel betreiben). Prüfe deine Seite damit erneut.

Achtung: Einige Angriffe auf Internetseiten integrieren Schadcode NICHT in die ausführbaren Dateien (*.html, *.js, *.aspx). In diesem Falle wurde der Schadcode wahrscheinlich in die Datenbank geschriebenen – ein solcher Angriff ist schwerer zu entdecken und zu beheben: Wurde Schadcode in die Datenbank geschrieben, kannst du versuchen, diesen über das DBMS zu lokalisieren. Im Falle einer Microsoft SQL-Datenbank wäre dies das Microsoft SQL Server Management Studio.

Es ist noch nicht erledigt!


Wenn du nun denkst „Endlich erledigt!“, übersehe nicht eine sehr wichtige Fragestellung: Wie haben es die Angreifer geschafft, einen Virus auf deine Internetseite zu schleusen? Folgende Möglichkeiten sind wahrscheinlich:

  • Dein Content Management System ist nicht aktuell
  • Plug-Ins deiner Webseite sind nicht aktuell oder verwundbar
  • Dein Webserver verfügt über eine Software-Schwachstelle
  • Dein Webserver wurde so konfiguriert, dass er unsicher ist
  • Dein FTP- oder CMS-Kennwort wurde gestohlen
  • Dein Arbeits-Computer ist mit einem Virus oder Trojaner infiziert

Lese dazu folgenden BYTEFOREST Webdesign Blog-Beitrag:
Infektion mit einem Computervirus verhindern und erkennen – Tipps und Hilfen