Zum Hauptinhalt gehen

Was tun, wenn ein Virus/Schadcode festgestellt wurde?

Wenn auf Ihrer Website Schadcode oder ein Virus festgestellt wurde, sollte die Website zunächst abgesichert und anschließend bereinigt werden. Da die Ursache und die Bereinigung je nach Website unterschiedlich sein können, finden Sie in dieser Anleitung allgemeine Hinweise zum weiteren Vorgehen.

Hinweis: Solange der Schadcode nicht vollständig entfernt wurde, sollte die betroffene Website nicht öffentlich erreichbar sein. So schützen Sie Besucher und verhindern, dass weiterer Schaden entsteht.

1. Website vorübergehend offline nehmen

Nehmen Sie die betroffene Website vorübergehend offline, bis der Schadcode entfernt wurde.

Dafür können Sie zum Beispiel:

2. Zugangsdaten ändern

Ändern Sie zuerst das FTP-Passwort. Speichern Sie das neue FTP-Passwort anschließend nicht dauerhaft in Ihrem FTP-Programm.

Ändern Sie bei Bedarf zusätzlich weitere Passwörter, wenn Sie vermuten, dass diese ebenfalls betroffen sein könnten.

3. Geräte prüfen

Prüfen Sie alle Computer, die sich per FTP mit dem Webspace verbunden haben, auf Viren und Schadsoftware.

Hinweis: Wenn ein Computer mit Schadsoftware infiziert ist, kann der Webspace nach der Bereinigung erneut kompromittiert werden. In schweren Fällen kann eine Neuinstallation des betroffenen Computers sinnvoll sein.

4. CMS, Themes und Plugins aktualisieren

Aktualisieren Sie eingesetzte CMS-Systeme wie WordPress oder Joomla sowie alle installierten Themes, Plugins und Erweiterungen.

Entfernen Sie veraltete Software, die nicht mehr gepflegt oder nicht mehr benötigt wird.

5. Logfiles prüfen

Prüfen Sie die Logfiles Ihres Webhosting-Pakets, um auffällige Zugriffe oder Änderungen besser einordnen zu können.

Eine Anleitung dazu finden Sie hier: Logfiles des Webhosting-Pakets einsehen

Beachten Sie, dass IP-Adressen allein oft nur begrenzt hilfreich sind. Angriffe erfolgen häufig über gekaperte Systeme oder ausländische Server.

6. Dateien auf Schadcode prüfen

Prüfen Sie die Dateien auf Ihrem Webspace und entfernen Sie den Schadcode vollständig.

Schadcode wird häufig in bestehende Dateien eingefügt, zum Beispiel in:

  • index.php
  • index.html
  • .htaccess
  • Theme- oder Plugin-Dateien eines CMS

Verdächtige Muster können zum Beispiel base64, eval oder iframe sein. Diese Begriffe bedeuten jedoch nicht automatisch, dass es sich um Schadcode handelt. Sie sollten immer im Zusammenhang geprüft werden.

Beispiel für verschleierten Schadcode

Einzelne Dateien können Sie zusätzlich mit einem externen Prüfdienst wie virustotal.com kontrollieren.

7. Backup einspielen

Wenn ein sauberes Backup vorhanden ist, kann das Einspielen eines Backups die Bereinigung erleichtern.

Hinweis: Verwenden Sie nur ein Backup, das vor der Infektion erstellt wurde. Wenn das Backup bereits Schadcode enthält, wird die Website erneut infiziert.

Weitere Informationen finden Sie im Bereich: Checkdomain-Backup-System

8. Neuinstallation oder externe Hilfe

Der sicherste Weg ist häufig, die betroffene Website vollständig zu löschen und sauber neu aufzubauen. Das ist jedoch nicht immer möglich oder sinnvoll.

Wenn Sie den Schadcode nicht vollständig entfernen können oder die Ursache unklar bleibt, sollten Sie einen externen Experten beauftragen.

Hinweis: Checkdomain bietet keine Bereinigung von Schadcode oder Absicherung kompromittierter CMS-Systeme als Dienstleistung an.

9. Google-Safe-Browsing-Warnung entfernen

Wenn Google eine Warnung für Ihre Website anzeigt, muss die Website zuerst vollständig bereinigt werden. Anschließend können Sie in der Google Search Console eine erneute Prüfung beantragen.

Weitere Informationen finden Sie bei Google: Website bereinigen und Überprüfung beantragen

Verwandte Beiträge

Benötigst du Hilfe?

E-Mail senden

support@checkdomain.de

Telefonischer Support

+49 (0) 451 / 70 99 70