Webseite gehackt - Was nun?

Diese Anleitung gibt Ihnen einen kurzen Überblick, wie Sie Ihre Webseite bereinigen und absichern können. Die Anleitung gilt für alle Betriebssysteme.

Lokalisierung des Schadcodes auf der betroffenen Webseite

Eine genaue Überprüfung der betroffenen Seiten und Verzeichnisse ist notwendig. Es ist gut möglich, dass derselbe Schadcode auf mehreren Unterseiten platziert ist oder dass im selben Web-Verzeichnis noch anderer Schadcode abgelegt wurde. Dabei ist es auch möglich, dass Schadcode platziert wird, mit dem andere Computer infiziert werden soll. Dies sind oft ausführbare Dateien, wie z.B. .exe, .bat, .ps1 und weitere. Ist es nicht möglich den Schadcode zu lokalisieren, empfiehlt NCSC, den Web Hosting Provider zu kontaktieren.

Entfernung des Schadcodes

Nachdem der Schadcode lokalisiert wurde, muss dieser entfernt werden. Unter Umständen hilft dabei das Zurückspielen eines früheren Backups.

Aktuelle Version des Content Management System (CMS) einspielen

Falls ein Content Management System (CMS) wie z.B. WordPress, Joomla oder Typo3 verwendet wird, stellen Sie sicher, dass Sie die aktuellste Version installiert haben und verwenden. Damit verhindern Sie, dass Kriminelle durch dieselbe Sicherheitslücke im CMS erneut Schadcode auf der Webseite platzieren können. Die aktuellste Version des CMS ist jeweils auf der Herstellerwebseite angegeben.

Achtung: Allfällig installierte Erweiterungen (Plug-Ins) müssen ebenfalls aktualisiert werden. Sicherheitslücken in Plug-Ins werden ebenso regelmässig von Kriminellen als Einfallstor missbraucht.

 

Überprüfung aller Computer der Webmaster nach Schadsoftware

Bevor FTP und CMS Zugangsdaten geändert werden, müssen alle Computer, über welche die Webseite administriert, nach Schadsoftware durchsucht werden (das heisst: alle Computer, auf denen Benutzername, Passwort usw. für den Login ins CMS eingegeben worden sind).

Ändern der Zugangspasswörter

Nachdem der Computer auf Schadsoftware überprüft und allfällige Schadsoftware entfernt wurde, müssen die FTP- und CMS-Zugangsdaten geändert werden. Damit verhindern Sie, dass Internetkriminelle mit Hilfe zuvor gestohlener Zugangsdaten (Benutzername / Passwort) erneut Schadcode auf der Webseite platzieren können. Wurden auf dem betroffenen Computer auch Passwörter für andere Internetdienstleistungen verwendet (Webmail, Paypal, usw.) müssen diese ebenfalls geändert werden.

Werden diese Punkte nicht beachtet, besteht ein hohes Risiko, dass Internetkriminelle erneut Zugang zu Ihrer Webseite erhalten und erneut Schadcode platzieren können.

Weiterführende Informationen

Präventive Massnahmen

Nach der Bereinigung der Webseite empfehlen wir zusätzliche Massnahmen, um zu verhin-dern, dass Internetkriminelle in Zukunft erneut Zugang zur Webseite erhalten. MELANI hat da-zu eine Checkliste zusammengestellt, welche entsprechende Massnahmen auflistet: Mass-nahmen zum Schutz von Content Management Systemen (CMS).

Letzte Änderung 17.12.2020

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/infos-fuer/infos-unternehmen/vorfall-was-nun/webseitenbereinigung.html