Für Webdesigner und Webmaster: Anleitung und Hilfe für das Entfernen eines Virus auf meiner Homepage

Dieser Artikel beschreibt das Vorgehen zur Entfernung von Schade-Code/Viren von einer Homepage.
Als Webdesigner und Webmaster haben Sie viel Liebe in Design und Programmierung Ihrer Internetseite gesteckt und nun scheint Ihre Homepage erfolgreich angegriffen oder infiziert worden zu sein: Wie sollten Sie sich als Webmaster verhalten? Und wie erkennen Sie überhaupt einen Angriff bzw. die Infektion Ihrer Webseite?
Mögliche Hinweise für einen Angriff auf Ihre Webseite, wenn:

Besucher berichten, dass Virenscanner beim Besuch der Webseite angeschlagen haben
Google vor dem Besuch Ihrer Internetseite warnt
Browser wie Firefox vor dem Betreten Ihrer Internetseite warnen
es Veränderungen an der Webseite gibt, welche nicht von den Webastern stammen
Nehmen Sie diese Hinweise in jedem Falle ernst: Denn Sie als Seitenbetreiber tragen die rechtliche Verantwortung für Ihre Internetseite. Und auch unter moralischen Standpunkten sollten Sie dafür Sorge tragen, dass Ihre Internetseite nicht das Leben anderer Leute negativ beeinflusst, indem sich Besucher Ihrer Internetseite mit Computer-Viren infizieren, welche z.B. deren Bank-Konten leerräumen.

Besuchen Sie Ihre Webseite nicht sofort, schließlich vermuten Sie eine Infektion!
Auch Sie sollten Ihre Internetseite möglichst nicht aufrufen, zumindest nicht mit Ihrem Produktiv-System, also ihrem Computer. Nutzen Sie stattdessen lieber eine Virtuelle Maschine: Virtuelle Maschinen (VM) laufen auf Systemen wie Windows und können ein zweites, unabhängiges System parallel betreiben, wie z.B. ein weiteres Windows – getrennt von Ihrem Hauptsystem, ist die mögliche Infektion einer Virtuellen Maschine ein durchaus hinnehmbares Übel. Kostenlos können Sie ein VM-System hier herunterladen: https://www.virtualbox.org/

Nach der VM-Installation müssen Sie zunächst eine neue Virtuelle Maschine anlegen und darin Windows installieren. Einen Produkt-Key benötigen Sie dafür nicht, eine kostenfreie 30-Tage Windows Test-Version genügt für unsere Zwecke. Nach der Installation von lassen Sie das virtuelle Windows zunächst alle Updates herunterladen. Anschließend gehen Sie in der VM wie folgt vor:

Installieren Sie ein FTP-Programm, z.B. das kostenlose FileZilla
Laden Sie damit Ihre komplette Internetseite herunter
Installieren Sie G-Data AV (30-Tage Testversion) und laden Sie alle Updates

Wenn Ihr Windows alle Updates geladen hat und G-Data Anti Virus alle Signaturen aktualisiert hat, lassen Sie das Verzeichnis, in welches Sie Ihre Webseite via FTP Übertragen haben, durch G-Data überprüfen (Rechte Maustaste „Auf Viren überprüfen“). Sollte ein Schadcode Teil ihrer Internetseite sein, ist es sehr wahrscheinlich, dass der Virenscanner jetzt anschlägt. In diesem Fall werden Ihnen die betroffenen Dateien abgezeigt, beispielsweise „meine-seite.php“ oder „mein-script.js“. Nun gibt es drei Möglichkeiten:

Sie ersetzen die infizierte Datei durch ein gespeichertes nicht infiziertes Original (empfohlen)
Sie entfernen den Schadcode manuell (empfohlen)
Sie überlassen die Entfernung dem Virenscanner

Nach dem Entfernen des Schadcodes ersetzen Sie die desinfizierte Datei auf Ihrem Web-Server wieder via FTP, also z.B. mit FileZilla.
Installieren Sie FireFox auf Ihrer Virtuellen Maschine; achten Sie darauf, dass es sich um die aktuellste FireFox-Version handelt.

Besuchen Sie jetzt Ihre Internetseite. Navigieren Sie sorgsam durch sämtliche Einzelseiten ihrer Internetpräsenz. Benutzen Sie alle Funktionen, beispielsweise Kontaktformulare. Schlägt Ihr Virenscanner nun nicht mehr an, ist dies ein gutes Zeichen. Wenn Sie mehr Sicherheit wollen, schließen Sie den Browser und deinstallieren G-Data. Installieren Sie einen weiteren Virenscanner, z.B. von McAfee, Symantec oder F-Secure (aber bitte nicht zwei Virenscanner parallel betreiben). Prüfen Sie Ihre Seite damit erneut.

Achtung: Einige Angriffe auf Internetseiten integrieren Schadcode NICHT in die ausführbaren Dateien (*.html, *.js, *.aspx). In diesem Falle wurde der Schadcode wahrscheinlich in die Datenbank geschriebenen – ein solcher Angriff ist schwerer zu entdecken und zu beheben: Wurde Schadcode in die Datenbank geschrieben, können Sie versuchen, diesen über das DBMS zu lokalisieren. Im Falle einer Microsoft SQL-Datenbank wäre dies das Microsoft SQL Server Management Studio.

Es ist noch nicht erledigt!


Wenn Sie nun denken „Endlich erledigt!“, übersehen Sie eine sehr wichtige Fragestellung: Wie haben es die Angreifer geschafft, einen Virus auf Ihre Internetseite zu schleusen? Folgende Möglichkeiten sind wahrscheinlich:

Ihr Content Management System ist nicht aktuell
Plug-Ins Ihrer Webseite sind nicht aktuell oder verwundbar
Ihr Webserver verfügt über eine Software-Schwachstelle
Ihr Webserver wurde so konfiguriert, dass er unsicher ist
Ihr FTP- oder CMS-Kennwort wurde gestohlen
Ihr Arbeits-Computer ist mit einem Virus oder Trojaner infiziert

Lesen Sie dazu folgenden BYTEFOREST Webdesign Blog-Beitrag:
Infektion mit einem Computervirus verhindern und erkennen – Tipps und Hilfen