Wie man eine Website auf Viren und Malware überprüft: Ein vollständiger Sicherheitsleitfaden

Websicherheit ist nicht optional — sie ist eine grundlegende Anforderung für jede Online-Präsenz. Egal ob Sie einen persönlichen Blog, einen E-Commerce-Shop oder eine Unternehmensplattform betreiben, Malware-Infektionen können Ihren Ruf zerstören, Benutzerdaten gefährden und Ihre Suchmaschinen-Rankings über Nacht ruinieren. Dieser umfassende Leitfaden führt Sie durch jede verfügbare Methode zum Erkennen, Analysieren und Beseitigen von Viren und Malware von Ihrer Website, damit Sie Ihre Plattform sicher, vertrauenswürdig und vollständig funktionsfähig halten können.

Was sind Website-Viren und Malware?

Website-Malware bezieht sich auf jede bösartige Software, die absichtlich in die Dateien, Datenbank oder Serverumgebung einer Website eingefügt wird. Im Gegensatz zu Desktop-Viren operiert webbasierte Malware oft stillschweigend im Hintergrund — stiehlt Daten, leitet Besucher um oder verwandelt Ihren Server in ein Spam-Relais, ohne offensichtliche Anzeichen zu hinterlassen.

Das Verständnis der häufigsten Malware-Typen ist der erste Schritt zum effektiven Schutz:

• Backdoors — Versteckte Einstiegspunkte, die Angreifern ermöglichen, remote auf Ihren Server zuzugreifen, auch nachdem Sie Passwörter geändert oder Sicherheitslücken behoben haben.
• Trojanische Pferde — Bösartige Skripte, die sich als legitime Plugins, Themes oder Softwarepakete ausgeben und schädlichen Code nach der Installation ausführen.
• Ransomware — Verschlüsselt Ihre Website-Dateien und fordert Zahlung im Austausch für den Entschlüsselungsschlüssel, wodurch Ihre Website praktisch als Geisel genommen wird.
• Adware — Injiziert nicht autorisierte Werbung in Ihre Webseiten, generiert Einnahmen für Angreifer und verschlechtert die Benutzererfahrung.
• Phishing-Seiten — Versteckte Seiten, die auf Ihrem Server erstellt werden, um Login-Daten oder Finanzinformationen von ahnungslosen Besuchern zu sammeln.
• SEO-Spam — Bösartiger Code, der versteckte Links oder Keyword-gefüllte Inhalte injiziert, um Suchmaschinen-Rankings für Websites Dritter zu manipulieren.
• Kryptominer — Skripte, die die CPU-Ressourcen Ihres Servers kapern, um Kryptowährung zu schürfen, was zu schwerwiegenden Leistungseinbußen führt.

Jede dieser Bedrohungen kann langfristigen Schaden an der Integrität, SEO-Leistung und dem Besuchervertrauen Ihrer Website verursachen. Frühe Erkennung ist entscheidend.

Warnsignale, dass Ihre Website möglicherweise infiziert ist

Bevor Sie sich in Scan-Tools und manuelle Überprüfungen vertiefen, sollten Sie die roten Flaggen kennen, die oft auf eine bereits laufende Malware-Infektion hindeuten:

• Unerwartete Inhaltsänderungen — Neue Seiten, Beiträge oder Links erscheinen, die Sie nicht erstellt haben.
• Verdächtige Weiterleitungen — Besucher werden auf unverwandte oder bösartige Websites Dritter weitergeleitet.
• Browser-Sicherheitswarnungen — Google Chrome, Firefox oder Safari zeigen eine Warnung wie „Diese Website könnte gehackt sein” oder „Betrügerische Website voraus” an.
• Google Search Console-Benachrichtigungen — Google benachrichtigt Sie über Sicherheitsprobleme oder manuelle Maßnahmen in Ihrem Konto.
• Blacklisting — Ihre Domain erscheint auf Spam- oder Malware-Blacklisten, was zu E-Mail-Zustellungsfehlern oder Suchranking-Verlusten führt.
• Beeinträchtigte Leistung — Unerklärliche Verlangsamungen, hohe CPU-Auslastung oder ungewöhnliche Server-Last-Spitzen.
• Hosting-Provider-Sperrung — Ihr Hosting-Konto wird aufgrund von auf Ihrem Server erkannter bösartiger Aktivität gesperrt.

Wenn Sie eines dieser Symptome bemerken, behandeln Sie es als Notfall und beginnen Sie sofort mit dem Scannen.

Methode 1: Verwendung von Online-Sicherheits-Scannern

Online-Sicherheits-Scanner sind die schnellste Möglichkeit, eine erste Bewertung der Gesundheit Ihrer Website zu erhalten. Sie analysieren Ihre öffentlich zugänglichen Seiten auf bekannte Malware-Signaturen, Blacklist-Status und häufige Sicherheitslücken.

Schritt 1: Wählen Sie den richtigen Scanner

Jedes Tool hat unterschiedliche Stärken. Verwenden Sie mehrere Scanner für die gründlichsten Ergebnisse:

Schritt 2: Geben Sie Ihre Website-URL ein

Navigieren Sie zur Website Ihres gewählten Scanners und geben Sie Ihre vollständige Domain-URL (z. B. https://www.yourdomain.com) in das Eingabefeld ein. Stellen Sie sicher, dass Sie das richtige Protokoll (https:// oder http://) für genaue Ergebnisse einbeziehen.

Schritt 3: Starten Sie den Scan

Klicken Sie auf die Schaltfläche Scan, Check oder Analyze, um den Prozess zu starten. Je nach Tool und Größe Ihrer Website kann der Scan zwischen wenigen Sekunden und mehreren Minuten dauern.

Schritt 4: Interpretieren Sie die Ergebnisse

Überprüfen Sie nach Abschluss des Scans sorgfältig die Ausgabe. Achten Sie besonders auf:

• Malware erkannt — Alle identifizierten bösartigen Codes, eingefügten Skripte oder verdächtigen Dateien.
• Blacklist-Status — Ob Ihre Domain auf Google, McAfee, Spamhaus oder anderen großen Blacklisten erscheint.
• Veraltete Software — Flaggen für veraltete CMS-Versionen, Plugins oder Themes mit bekannten Sicherheitslücken.
• SSL/TLS-Probleme — Schwache Cipher-Suites, abgelaufene Zertifikate oder falsch konfigurierte HTTPS-Einstellungen.

> Pro-Tipp: Online-Scanner analysieren nur Ihre öffentlich sichtbaren Seiten. Sie können nicht auf serverseitige Dateien oder Datenbankinhalte zugreifen. Führen Sie immer einen Server-Level-Scan für vollständige Abdeckung durch.

Methode 2: Manuelle Datei- und Code-Überprüfung

Für eine tiefere Untersuchung ist eine manuelle Überprüfung Ihrer Serverdateien unerlässlich. Dieser Ansatz erfordert Zugriff auf Ihre Hosting-Umgebung und ein grundlegendes Verständnis von Web-Dateistrukturen.

Schritt 1: Greifen Sie auf Ihre Serverdateien zu

Verbinden Sie sich mit Ihrem Server mit einer der folgenden Methoden:

• FTP/SFTP-Client — Verwenden Sie FileZilla oder Cyberduck, um Ihr Dateisystem remote zu durchsuchen.
• Hosting-Kontrollpanel — Greifen Sie auf den Datei-Manager über cPanel, Plesk oder ein ähnliches Panel zu. Wenn Sie nach einer verwalteten Umgebung mit intuitivem Kontrollpanel-Zugriff suchen, bietet VPS mit cPanel eine leistungsstarke und benutzerfreundliche Lösung.
• SSH-Terminal — Für fortgeschrittene Benutzer bietet SSH-Zugriff die leistungsstärksten Inspektionsmöglichkeiten.

Schritt 2: Identifizieren Sie kürzlich geänderte Dateien

Angreifer ändern typischerweise vorhandene Dateien oder fügen während einer Infektion neue hinzu. Verwenden Sie den folgenden SSH-Befehl, um Dateien aufzulisten, die in den letzten 7 Tagen geändert wurden:

find /var/www/html -type f -mtime -7

Passen Sie den Pfad an Ihr Web-Root-Verzeichnis an. Alle kürzlich geänderten Kerndateien (besonders PHP-Dateien in WordPress-Verzeichnissen wp-includes oder wp-admin), die Sie nicht absichtlich geändert haben, sollten als verdächtig behandelt werden.

Schritt 3: Suchen Sie nach häufigen Malware-Mustern

Verwenden Sie grep, um nach bekannten bösartigen Code-Mustern in Ihrem gesamten Web-Verzeichnis zu suchen:

# Search for base64 encoded payloads (common obfuscation technique)
grep -r "base64_decode" /var/www/html --include="*.php"

# Search for eval() with encoded content
grep -r "eval(base64" /var/www/html --include="*.php"

# Search for common backdoor functions
grep -r "exec|system|passthru|shell_exec" /var/www/html --include="*.php"

# Search for hidden iframe injections
grep -r "<iframe" /var/www/html --include="*.html" --include="*.php"

Schritt 4: Überprüfen Sie HTML- und PHP-Quelldateien

Öffnen Sie Ihre Kern-Template-Dateien — besonders header.php, footer.php, index.php und .htaccess — und suchen Sie nach:

• Verschleierter Code — Lange Zeichenketten mit scheinbar zufälligen Zeichen, oft in Base64 oder Hexadezimal kodiert.
• Versteckte iframes — <iframe>-Tags, die auf externe Domains verweisen, oft mit display:none-Styling.
• Nicht autorisierte Weiterleitungen — PHP header()-Aufrufe oder JavaScript window.location-Weiterleitungen zu unbekannten URLs.
• Verdächtige eval()-Aufrufe — Dynamische Code-Ausführung, die kodierte oder verschlüsselte Payloads verarbeitet.

Schritt 5: Überprüfen Sie Ihre .htaccess-Datei

Die .htaccess-Datei ist ein häufiges Ziel für Malware-Injektionen. Öffnen Sie sie und überprüfen Sie, dass sie nur Ihre erwartete Konfiguration enthält. Suchen Sie nach unerwarteten RewriteRule-Direktiven, die Traffic zu externen Websites umleiten, besonders Regeln, die speziell auf mobile Benutzer oder Suchmaschinen-Crawler abzielen.

Schritt 6: Überprüfen Sie Ihre Datenbank

Für CMS-Plattformen wie WordPress wird Malware häufig in der Datenbank gespeichert. Verwenden Sie phpMyAdmin oder eine direkte MySQL-Abfrage, um nach verdächtigem Inhalt zu suchen:

SELECT * FROM wp_posts WHERE post_content LIKE '%base64%';
SELECT * FROM wp_options WHERE option_value LIKE '%eval(%';

Methode 3: Server-Level-Antivirus-Scanning

Für das gründlichste Malware-Erkennung führen Sie einen dedizierten Antivirus-Scanner direkt auf Ihrem Server aus. Dies ist besonders wichtig, wenn Sie VPS-Hosting oder einen Dedicated Server haben, wo Sie Root-Zugriff haben, um Sicherheitstools zu installieren und auszuführen.

ClamAV — Open-Source-Antivirus für Linux

ClamAV ist die am weitesten verbreitete Open-Source-Antivirus-Engine für Linux-Server. So installieren und verwenden Sie sie:

Installieren Sie ClamAV auf Ubuntu/Debian:

sudo apt update
sudo apt install clamav clamav-daemon -y
sudo systemctl stop clamav-freshclam
sudo freshclam
sudo systemctl start clamav-freshclam

Führen Sie einen vollständigen Scan Ihres Web-Verzeichnisses durch:

sudo clamscan -r /var/www/html --infected --remove --log=/var/log/clamav_scan.log

• -r — Rekursiver Scan aller Unterverzeichnisse
• --infected — Nur infizierte Dateien anzeigen
• --remove — Erkannte Bedrohungen automatisch entfernen
• --log — Ergebnisse in einer Protokolldatei speichern zur Überprüfung

Überprüfen Sie das Scan-Protokoll:

cat /var/log/clamav_scan.log

Maldet (Linux Malware Detect)

Linux Malware Detect (LMD) wurde speziell entwickelt, um Bedrohungen zu erkennen, die häufig in Shared-Hosting-Umgebungen gefunden werden, und ist sehr wirksam gegen webbasierte Malware:

# Download and install LMD
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar -xzf maldetect-current.tar.gz
cd maldetect-*/
sudo ./install.sh

# Run a scan
sudo maldet -a /var/www/html

Methode 4: CMS-spezifische Sicherheits-Plugins

Wenn Ihre Website auf einem Content-Management-System läuft, bieten dedizierte Sicherheits-Plugins kontinuierlichen, automatisierten Schutz ohne manuelle Eingriffe.

WordPress-Sicherheit

• Wordfence Security — Bietet eine Web Application Firewall (WAF), Echtzeit-Malware-Scanner, Login-Sicherheit und Traffic-Überwachung. Die kostenlose Version ist für die meisten Websites sehr leistungsfähig.
• Sucuri Security — Bietet Datei-Integritätsüberwachung, Sicherheitsaktivitäts-Auditing und Post-Hack-Sicherheitsmaßnahmen.
• MalCare — Bietet One-Click-Malware-Entfernung und tiefes Scanning, das die Serverleistung nicht beeinträchtigt.
• iThemes Security — Konzentriert sich auf die Härtung von WordPress gegen Brute-Force-Angriffe und nicht autorisierten Zugriff.

Joomla-Sicherheit

• RSFirewall! — Umfassende Sicherheitssuite mit Systemprüfung und Firewall-Funktionen.
• Akeeba Admin Tools — Bietet eine WAF, Sicherheitshärtung und .htaccess-Optimierung.

Drupal-Sicherheit

• Security Review — Automatisierte Überprüfungen auf häufige Sicherheitskonfigurationsfehler.
• Paranoia — Beschränkt die PHP-Ausführung in bestimmten Verzeichnissen, um Code-Injektionen zu verhindern.

Methode 5: Überwachung der Google Search Console

Google Search Console ist eine kostenlose und unschätzbare Ressource zur Erkennung von Sicherheitsproblemen, die Google bereits auf Ihrer Website identifiziert hat.

1. Melden Sie sich bei Google Search Console an.
2. Navigieren Sie zu Sicherheit & manuelle Maßnahmen → Sicherheitsprobleme.
3. Überprüfen Sie alle gekennzeichneten Probleme, einschließlich gehackter Inhalte, Malware oder betrügerischer Seiten.
4. Nachdem Sie Ihre Website bereinigt haben, verwenden Sie die Funktion Überprüfung anfordern, um Google zu bitten, Ihre Website neu zu bewerten und alle Warnungen zu entfernen.

Was zu tun ist, wenn Malware gefunden wird

Die Entdeckung von Malware auf Ihrer Website erfordert sofortige, systematische Maßnahmen. Befolgen Sie diesen Reaktionsplan:

1. Schalten Sie Ihre Website vorübergehend offline

Versetzen Sie Ihre Website in den Wartungsmodus, um weitere Schäden an Besuchern zu verhindern und die Ausbreitung von Malware zu stoppen. Dies signalisiert auch Suchmaschinen, dass Sie das Problem aktiv beheben.

2. Ändern Sie sofort alle Anmeldedaten

• FTP/SFTP-Passwörter
• Hosting-Kontrollpanel-Passwort
• CMS-Admin-Passwörter
• Datenbank-Passwörter
• SSH-Schlüssel

3. Stellen Sie aus einer sauberen Sicherung wieder her

Wenn Sie eine aktuelle Sicherung von vor der Infektion haben, ist die Wiederherstellung oft der schnellste Weg zu einer sauberen Website. Deshalb sind regelmäßige, automatisierte Sicherungen unverzichtbar. AlexHost-VPS-Hosting-Pläne enthalten Sicherungsoptionen, um sicherzustellen, dass Ihre Daten immer wiederherstellbar sind.

4. Entfernen Sie bösartigen Code manuell

Wenn keine saubere Sicherung verfügbar ist, entfernen Sie manuell alle identifizierten bösartigen Codes. Ersetzen Sie Kern-CMS-Dateien mit frischen Downloads aus der offiziellen Quelle und überprüfen Sie jede benutzerdefinierte Datei einzeln.

5. Identifizieren und beheben Sie den Einstiegspunkt

Die Bereinigung der Malware ohne Behebung der Sicherheitslücke, die die Infektion ermöglichte, ist sinnlos — Angreifer werden Ihre Website einfach erneut infizieren. Häufige Einstiegspunkte sind:

• Veraltete Plugins oder Themes mit bekannten Sicherheitslücken
• Schwache oder wiederverwendete Passwörter
• Kompromittierte FTP-Anmeldedaten
• Anfällige Server-Software (PHP, Apache, Nginx)
• Unsichere Dateiberechtigungen

6. Fordern Sie die Entfernung von der Blacklist an

Wenn Ihre Website von Google oder anderen Diensten auf die Blacklist gesetzt wurde, reichen Sie nach der Bereinigung eine Überprüfungsanfrage ein:

• Google — Verwenden Sie den Abschnitt „Sicherheitsprobleme” der Google Search Console.
• McAfee SiteAdvisor — Reichen Sie über die McAfee-Website ein.
• Spamhaus — Verwenden Sie das Spamhaus-Entfernungsanfrage-Formular.

Proaktive Sicherheitsbest-Practices

Prävention ist immer wirksamer als Behebung. Implementieren Sie diese Praktiken, um Ihre Angriffsfläche erheblich zu reduzieren:

Halten Sie alles aktuell

Veraltete Software ist die häufigste Ursache für Website-Infektionen. Halten Sie Ihren CMS-Kern, Plugins, Themes und Server-Software immer aktuell. Aktivieren Sie automatische Updates, wo möglich.

Verwenden Sie starke, eindeutige Passwörter und 2FA

Erzwingen Sie starke Passwort-Richtlinien für alle Konten, die mit Ihrer Website verbunden sind. Aktivieren Sie Zwei-Faktor-Authentifizierung (2FA) auf Ihrem CMS-Admin-Panel, Hosting-Kontrollpanel und allen anderen Zugriffspunkten.

Implementieren Sie korrekte Dateiberechtigungen

Falsche Dateiberechtigungen sind ein kritisches Sicherheitsrisiko. Verwenden Sie Folgendes als Grundlage:

# Directories: 755
find /var/www/html -type d -exec chmod 755 {} ;

# Files: 644
find /var/www/html -type f -exec chmod 644 {} ;

# wp-config.php (WordPress): 400 or 440
chmod 400 /var/www/html/wp-config.php

Installieren und konfigurieren Sie eine Web Application Firewall (WAF)

Eine WAF filtert bösartigen Traffic, bevor er Ihre Anwendung erreicht. Optionen umfassen Cloudflare (Cloud-basiert), ModSecurity (Server-Level) oder Plugin-basierte WAFs wie Wordfence.

Sichern Sie Ihre SSL/TLS-Konfiguration

Ein aktives, ordnungsgemäß konfiguriertes SSL-Zertifikat ist sowohl für die Sicherheit als auch für das Benutzervertrauen unerlässlich. Es verschlüsselt Daten während der Übertragung und ist ein bestätigter Google-Ranking-Faktor. Sie können Ihre Domain leicht mit einem SSL-Zertifikat sichern, um Ihre Besucher zu schützen und die Glaubwürdigkeit Ihrer Website zu verbessern.

Planen Sie regelmäßige automatisierte Sicherungen

Konfigurieren Sie automatisierte tägliche oder wöchentliche Sicherungen, die an einem separaten Ort von Ihrem primären Server gespeichert werden. Dies stellt sicher, dass Sie immer einen sauberen Wiederherstellungspunkt verfügbar haben.

Härten Sie Ihre Server-Konfiguration

Wenn Sie Ihren eigenen Server verwalten, wenden Sie diese Härtungsmaßnahmen an:

• Deaktivieren Sie nicht verwendete PHP-Funktionen (exec, system, ###PPT_NOTR_