Website gehackt? Spam-Einträge in der Google-Suche? So kriegen Sie Google-Spam los

Spam aus den Google-Suchergebnissen löschen mit Status 410 / Gone

Schnell ist eine Website gehackt, und oft wird der Angriff nicht sofort bemerkt. Problematisch dabei: Hacker leiten die Besucher Ihrer Website nach einem erfolgreichen Angriff oft auf unseriöse Seiten um. Manchmal nach dem Zufallsprinzip, etwa nur jeden zweiten oder dritten Besucher, damit es nicht so auffällt. Oder aber – neulich erlebt – nur jeden x-ten Besucher, und nur auf Mobilgeräten. Kurzum: Hacker werden immer einfallsreicher und verstecken ihre Schadsoftware oft monatelang auf Websites – unbemerkt von rechtmäßigen Website-Betreiber.

Diese Zeit nutzen die Hacker oft auch, um Spam-Inhalte auf Ihrer Website zu hinterlegen und diese von Google indexieren zu lassen. Das heißt: Zur Domain Ihrer Website werden bei Google plötzlich Inhalte gelistet, die Spam sind – und extrem reputationsschädigend.

Welche Inhalte zu Ihrer Website im Google-Index zu finden sind, können Sie durch die „site“-Suche bei Google herausfinden. Mit dieser werden Ihnen nur Suchergebnisse von der entsprechenden Website angezeigt, etwa:

site:www.lotsofways.de

 

Screenshot Spam-Ergebnisse einer gehackten Website in der Google-Suche

Beispiel aus der Praxis: Spam-Ergebnisse einer gehackten Website in der Google-Suche. Oft finden sich am Ende mehr manipulierte Ergebnisse in der Suche als „echte“. Was zu Ihrer Website bei Google zu finden ist, erfahren Sie, indem Sie „site:www.ihre-domain.de“ in das Google-Suchfeld eingeben.

Was tun, wenn Ihre Website jetzt oder in der Vergangenheit gehackt wurde und Sie bereits mit Spam in den Google-Suchergebnissen zu Ihrer Domain zu kämpfen haben?

Google-Spam schnell loswerden

Erster Schritt ist logischerweise die Bereinigung der Infektion auf Ihrer Website und das Entfernen der Inhalte, die Hacker auf Ihrer Website platziert haben. Spielen Sie die Systemdateien Ihres CMS neu auf, überprüfen Sie Upload-, Theme- und Plugin-Ordner auf manipulierte Inhalte. Lassen Sie sich ggf. von erfahrenen Administratoren helfen, von uns oder von Sicherheits-Anbietern wie Sucuri, die eine Firewall samt Malware Cleaning Flatrate im Angebot haben.

Im zweiten Schritt nutzen Sie das Google Tool zur Entfernung von Inhalten aus der Google Suche.

Dabei kann es allerdings einen Haken geben: Die Inhalte, deren Entfernung Sie hier beantragen, werden nur temporär aus der Google-Suche ausgeblendet. Es ist daher wichtig, dass Ihre Website die entsprechenden Hacker-Inhalte auch tatsächlich nicht mehr ausliefert.

Das sollte ja nicht der Fall sein, wenn Sie den Hack bereinigt haben.

Nur: Manche Hacker platzieren ihre Inhalte so, dass ein sogenannter Query String Teil der URL ist, das heißt: ein Fragezeichen beispielsweise. So sind oft URLs aufgebaut, die zum Beispiel Inhalte aus der Site-Suche aufrufen.

Ergebnis: Wenn jemand – auch der Google Bot – dem ursprünglich von Hackern in die Google-Suche gebrachten Link folgt, so landet er beispielsweise auf Ihrer Startseite, nicht auf einer Fehlerseite.

Ideal wäre es aber, wenn Ihre Website beim Aufrufen der ehemaligen Hacker-Links einen HTTP-Fehlercode ausgibt, etwa 404 (nicht gefunden) oder – in diesem Fall noch besser – 410 (gone).

HTTP-Status 410 gone steht für: Dieser Inhalt war einmal vorhanden, doch jetzt ist er – endgültig – weg.

Wir haben hiermit gute Erfahrungen gemacht:

Google-Spam mit Status 410 / gone eliminieren

Versuchen Sie, bevor Sie das Google Tool zur Entfernung von Inhalten aus der Google Suche nutzen, einen Status 410 / gone für alle Hacker-Inhalte zu erreichen – insbesondere, wenn die Hacker-Links ohne besondere Maßnahmen „gültig“ auf Ihre Website zeigen und (zum Beispiel wegen eines Query String, „?“ in der URL), keinen Fehler-Status auslösen. Dazu gibt es unterschiedliche Möglichkeiten. Prinzipiell erreichen Sie den Effekt, indem Sie einen Redirect mit Status 410 in der .htaccess setzen, etwa so:

Status 410 für Hacker Links

Fehlerseite definieren:

ErrorDocument 410 /unterordner/410.php

Betroffene Seite mit Status „Gone“ brandmarken:

Redirect Gone /geloeschte-ressource.html

oder (Vorsicht) gleich ein ganzes Verzeichnis:

Redirect Gone /verzeichnis

Noch ein Tipp:

HTTP Status 410 bei URLs mit Fragezeichen (?) bzw. Query String

Wenn die Hacker Links mit einem Fragezeichen („?“) in der URL verwendet haben, so werden Sie – wenn es Ihnen wie uns geht – nicht ganz so schnell eine Lösung finden.

Es gibt aber eine – hier für Apache Webserver:

RewriteEngine On
RewriteCond %{QUERY_STRING} tabuwort
RewriteRule .* - [G]

Mit dieser Anweisung in Ihrer .htaccess erreichen Sie Folgendes:

  1. Jede Adresse (URL), die die Zeichenfolge tabuwort enthält, erzeugt beim Aufrufen einen Fehler 410 (gone).
    Vorsichtig anwenden! Wirkung testen!
  2. Das gilt auch für Seiten mit Query Strings wie www.ihredomainde/?tabuwort/spamseite1
  3. Dennoch funktionieren andere Seiten mit Query Strings und Fragezeichen weiterhin

Anmerkung: Die Zeile

RewriteCond %{QUERY_STRING} tabuwort

können Sie hier auch mehrfach verwenden, damit werden dann mehrere Zeichenketten mit einer UND-Verknüpfung als Bedingung für den Status 410 gesetzt, d.h. alle Zeichenketten müssen vorkommen.

Gut zu wissen ist auch: Wenn die Hacker alle verseuchten Seiten unterhalb einer bestimmten Verzeichnisebene angelegt haben, dann können Sie mit dem Google Tool zur Entfernung von Inhalten gleich das ganze Verzeichnis aus den Suchergebnissen löschen lassen.

Sie geben dazu – relativ zur Home Ihrer Website – einfach das Verzeichnis ein:

Google: Ganzes Verzeichnis mit gehackten Seiten aus den Suchergebnissen entfernen

Google: Ganzes Verzeichnis mit gehackten Seiten aus den Suchergebnissen entfernen

Wir haben die Erfahrung gemacht, dass die Entfernung innerhalb einiger Stunden erfolgen kann.

Der Status wird anschließend angezeigt:

Google: Entfernung eines Verzeichnisses mit gehackten Seiten erfolgreich

Google: Entfernung eines Verzeichnisses mit gehackten Seiten erfolgreich

Aber denken Sie daran: Nur, wenn Ihre Website auch einen Fehler 404 oder 410 ausliefert, wenn die gehackten URLs aufgerufen werden, können Sie auch sicher sein, dass die Inhalte nicht nach 90 Tagen wieder im Index erscheinen. Die URLs gleich auf Webserver-Ebene zu blockieren wie oben erklärt hat auch den Vorteil, dass im Fall eine erneuten Infektion mit dem gleichen Schadcode (das ist ja nicht auszuschließen) der Angriff nicht wieder unter den gleichen URLs in gleicher Weise seine öffentliche Wirkung entfaltet.