Tip:
Highlight text to annotate it
X
[Musik]
Hallo, ich bin Maile Ohye.
Wir fahren fort mit unserer Reihe zur Wiederherstellung gehackter Websites.
Ihr seid jetzt bereit, den Schaden zu beurteilen.
Dieses Video richtet sich an alle,
die benachrichtigt wurden, dass ihre Website mit Malware infiziert ist,
und über die nötigen technischen Kenntnisse verfügen,
um Quellcode einzusehen und Befehle im Terminal auszuführen.
Fachliche Unterstützung bei der Bekämpfung von Malware
leistet uns ein Entwickler vom Google Safe Browsing-Team,
Lucas Ballard.
Hallo, Maile.
Danke für deine Unterstützung.
Wir haben inzwischen einen Überblick zum Thema Hacking erhalten
und wissen, dass unsere Website durch Malware kompromittiert wurde.
Jetzt geth es darum, den Schaden zu beurteilen.
Doch könntest du uns vorher erklären,
was genau Malware ist?
Natürlich.
Malware ist ein allgemeiner Begriff für bösartige Software,
die entwickelt wurde, um Computer oder Netzwerke zu schädigen.
Zu Malware gehören Viren, Würmer, Spyware,
Keylogger und Trojanische Pferde.
Um die Nutzer im Web vor bösartiger Software zu schützen,
setzt das Google Safe Browsing-Team internetweit Scanner ein,
die schädliche Seiten aufspüren.
Unsere automatischen Scanner stellen fest, ob Seiten
durch Schadinhalte infiziert sind.
Der Ruf des Webmasters spielt dabei keine Rolle.
Ihr seid nicht allein, wenn eure Website mit Malware infiziert wurde.
Wir entdecken jeden Tag 10.000 neu infizierte Websites.
Gut zu wissen.
Kannst du ein konkretes Beispiel nennen,
was es bedeutet, wenn eine Website mit Malware infiziert ist?
Natürlich.
Wenn seriöse Websites das Label "Mit Malware infiziert"
erhalten, hat Google festgestellt,
dass Nutzer beim Besuch dieser Website in ihrem Browser
automatisch auf eine andere Website gelangen,
die den Browser angreift.
Normalerweise besucht der Browser diese Website,
weil die seriöse Website
oder eine ihrer Ressourcen
durch Inhalte auf der Angreifer-Website modifiziert wurde.
Wir warnen Nutzer vor dem Besuch infizierter Seiten,
weil so Inhalte einer Angreifer-Website
eine Sicherheitslücke im verwendeten Browser ausnutzen.
Gelingt dies, wird Schadsoftware
automatisch auf den Computer des Nutzers geladen,
ohne dessen Wissen.
Bei der Schadsoftware kann es sich um Spyware handeln,
die Online-Banking-Daten eines Nutzers sammelt,
oder Malware, die über den infizierten Computer Spam sendet.
Durch die Schädigung des Nutzercomputers
fügt der Hacker einen weiteren Knotenpunkt
zu seinem Maware-Netzwerk hinzu
und kann so weitere Computer oder Websites angreifen.
Dein Beispiel zeigt deutlich,
dass sich Malware wie eine Infektion ausbreitet.
Erklär bitte, wie Website-Inhaber herausfinden,
ob ihre Website infiziert ist
oder an der Infizierung anderer beteiligt war.
Okay.
Google Safe Browsing veröffentlicht diese Informationen
für alle Nutzer, unabhängig davon,
wer der bestätigte Website-Inhaber ist.
Navigieren wir zur Diagnoseseite
von Google Safe Browsing.
Die URL lautet www.google.com/safebrowsing/diagnostic?site=
und dann eure Website.
Ich könnte Folgendes hinzufügen: googleonlinesecurity.blogspot.com.
Hier könnt ihr den aktuellen Status eurer Website
hinsichtlich der Sicherheit für eure Nutzer sehen.
Mein Team ist für die Scanner zuständig,
die diese Daten generieren.
Glücklicherweise ist unser Blog für Online-Sicherheit sicher.
Schauen wir uns eine infizierte Website an,
um zu erfahren, was ihr dort sehen könnt.
Auf der Safe Browsing-Diagnoseseite
wird der aktuelle Status angezeigt, sprich:
Ist die Website wahrscheinlich sicher?
Oder ist sie verdächtig und gefährlich für die Nutzer?
Mit Malware infizierte Websites werden als verdächtig eingestuft.
Unter dem nächsten Punkt
werden genauere Informationen angezeigt.
So könnt ihr beispielsweise sehen, welche Angriffs-Websites
auf eurer Website enthalten sind.
Außerdem werden euch Informationen zur eigentlichen Angriffs-Website angezeigt.
Die Angriffs-Website dient als Host für die Malware
zur Infizierung der Nutzer. Hier seht ihr, ob eure Website
Teil eines Malware-Netzwerks ist.
Wenn ihr auf die Website oder das Netzwerk klickt,
erhaltet ihr weitere Informationen in Safe Browsing.
Die letzte Information auf dieser Seite zeigt,
ob eure Website als Mittlerin
zum Infizieren anderer Websites oder Hosten von Malware diente.
Danke, Lucas.
Kannst du jetzt erläutern,
wie wir den Schaden auf unserer Website
sicher untersuchen können?
Das ist wirklich
eine gute Frage.
Bevor ihr euch Seiten anzeigen lasst, Dateien löscht oder eure Website ändert,
habe ich weitere Tipps für die Untersuchung von Malware.
Erstens solltet ihr eine infizierte Website
nie im Browser öffnen.
Schließlich verbreitet sich Malware
durch das Ausnutzen von Browser-Sicherheitslücken.
Das Öffnen einer infizierten Webseite im Browser
beschwört Ärger herauf.
Zweitens ist es hilfreich, beim Untersuchen von Schadcode
über Serverzugriff zu verfügen.
Da Malware oft so konfiguriert ist,
dass sie nur nach User-Agent, Cookies, Verweis-URL,
Uhrzeit, Betriebssystem oder Browserversion angezeigt wird,
ist es hilfreich,
sich den Seitenquellcode anzusehen, um Inhalt und Verhalten
besser zu verstehen.
Drittens gibt es nützliche Tools
zur Durchführung diagnostischer HTTP-Anforderungen bzw. Seitenabrufe,
um das Schadensausmaß für eure Website zu beurteilen.
Da Hacker oft Weiterleitungen von regulären Websites
zu Angriffs-Websites konfigurieren, reicht der Seitenquellcode oft nicht,
um Weiterleitungen zu entdecken.
Ihr müsst die eigentliche Seite abrufen.
Zwei nützliche, oft kostenlos erhältliche Tools
sind Wget und cURL.
Wget und cURL führen HTTP-Anforderungen aus
und können mit Informationen zu
Verweis-URL, User-Agent oder Browser konfiguriert werden.
Diese Funktionen sind hilfreich,
um ausgefeiltere Techniken zu entlarven, die Hacker verwenden,
um nicht entdeckt zu werden.
Hacker können die Website so konfigurieren,
dass sie nur dann an Schad-Content weiterleitet,
wenn die URL von einer Suchergebnisseite angefordert wird.
Sucht ein Nutzer dann auf google.com,
enthält seine Seitenanforderung einen Google-URL-Verweis.
Indem er Schad-Content
nur Nutzern mit Google-URL-Verweis bereitstellt,
erreicht der Hacker mehr echte Personen
und entgeht eher der Entdeckung durch Webmaster
und Malware-Scanner.
Die Suche nach Wget und cURL
bringt in der Regel weitere Informationen zu ihrer Verwendung.
Fassen wir zusammen:
Bei der Untersuchung von Malware gilt Folgendes:
Erstens: die Seite nicht im Browser öffnen.
Zweitens: den Quellcode der Seite in einem Dateisystem ansehen.
Drittens: nach Weiterleitungen suchen und Quellcode überprüfen
mithilfe von Wget oder cURL.
Auf der Safe Browsing-Diagnoseseite
haben wir uns angesehen,
wie stark unsere Website betroffen ist.
Jetzt schauen wir uns den Malware-Bereich
in den Webmaster-Tools an.
Als bestätigter Inhaber meiner Website
melde ich mich in Webmaster-Tools an, wähle "Meine Website",
"Diagnose" und dann "Malware" aus.
Lucas, sag uns doch, welche Informationen
dein Team auf dieser Seite bereitstellt?
Gern.
Die Malware-Seite hat oben zwei Schaltflächen,
"Tabelle herunterladen" und "Überprüfung anfordern".
"Überprüfung anfordern" wird verwendet,
sobald eine Website frei von Malware ist.
Dazu müssen wir aber zunächst
den Schaden beurteilen.
Diese Tabelle zeigt ein Beispiel
für infizierte URLs eurer Website,
dem von unseren Scannern identifizierten Infektionstyp
und das Datum, an dem der Schaden zuletzt festgestellt wurde.
Wenn ihr auf die URL klickt, gelangt ihr zu den "Malware-Details"
mit bestimmten Aktionselementen.
Einige URL-Beispiele haben keinen Infektionstyp.
Zwar haben unsere Scanner die URL als schädlich identifiziert,
sie waren jedoch nicht in der Lage, das spezielle Verhalten zu identifizieren.
Die einzelnen Infektionstypen
werde ich in einem anderen Video noch genauer erklären.
Nach der Untersuchung aller Beispiel-URLs
in den Webmaster-Tools geht es an den letzten Schritt:
die allgemeine Beurteilung des Schadens an eurer Website.
Ja.
"Schadensbeurteilung am Dateisystem" ist das letzte Video
in dieser Reihe.
Mit der Schadensbeurteilung am Dateisystem
könnt ihr eine Liste der vom Hacker geänderten oder hinzugefügten Dateien
für die anschließende Bereinigung erstellen.
Danke, Lucas.
Mehr über die verschiedenen Malware-Typen auf eurer Website
findet ihr in den Videos von Lucas zu den Themen
Serverkonfiguration, Einschleusung von SQL-Befehlen und Fehlervorlage.
Sobald ihr den Schaden auf eurer Website
beurteilt habt, solltet ihr eine allgemeine Beurteilung des
Dateisystems durchführen.
Danach geht es weiter
mit dem Identifizieren der Sicherheitslücke.
Wir nähern uns der Wiederherstellung.
Macht weiter so.