Get Adobe Flash player

Der Pharma Hack




Wie erkennen Sie eine gehackte Seite?


Der Pharma Hack ist die zur Zeit häufigste Methode, um Seiten zu hacken und mit schädlichen Links zu bestücken. Betroffen sind vor allem Seiten unter den CMS-Systemen Wordpress©, Joomla©, Drupal© oder Typo3©. Aber auch Seiten ohne CMS können zu Opfern werden.
Der Hack ist auf niemand speziellen beschränkt, sondern Unternehmen, Onlineshops, Vereine, Verbände, Kirchen, Parteien u.v.m. zählen zu den Zielen. Allein in Deutschland, Österreich und der Schweiz entdeckt unser automatisiertes Suchskript täglich etwa 20 neue Domains, die plötzlich Links des Pharma Hacks aufweisen und somit gehackt wurden.

Das Tückische am sogenannten Pharma Hack ist, daß er in der Regel für den Seitenbetrachter unsichtbar ist und nur vom Spider einer Suchmaschine gesehen wird.
Aber genau das kann man nutzen, um zu erkennen, ob eine Seite durch den Pharma Hack gehackt wurde.
Klicken Sie den folgenden Link oder rufen Sie dazu Google direkt auf und geben dort folgendes ein : site:www.IHRESEITE.de viagra
Anstelle von viagra sollten Sie ausserdem noch die Wörter casino, loan, porn, celeb und replica nacheinander versuchen, da man damit weitgehend das gesamte Spektrum des Pharma Hacks abdeckt.
Sollte auch nur eine Seite mit einem dieser Wörter gefunden werden, können Sie davon ausgehen Ihre Seite ist Opfer des Pharma Hacks geworden.
Ihre Seiten wurde also auch,wie ca. 540.000 andere Seiten in Deutschland, Österreich und der Schweiz,durch den sogenannten Pharma Hack kompromitiert. Um diesen Hack zu finden, zu beseitigen und künftige Hacks zu verhindern,gilt es zunächst zu verstehen

Was ist der Pharma Hack?

Was sind seine Ziele?

Wie funktioniert er?

Folgen des Pharma Hacks

Wie beseitigt man ihn?.





Was ist der Pharma Hack?

Im Gegensatz zu Viren, Trojanen oder andere Malware, ist der Pharma Hack von gängigen Schutzprogrammen nicht zu erkennen, da es sich nicht um ein Programm mit fixer Signatur handelt, sondern es direkt von einem Menschen generiert wurde und sich von von gehackter Seite zu gehackter Seite unterscheiden kann. Der Pharma Hack ist ein sogenanntes Exploit, welches Schwachstellen in CMS-Systemen, wie Wordpress©, Joomla©, Drupal© oder Typo3© nutzt, um Suchmaschinen, wie Google, Bing oder Yahoo mit Links zu pharmazeutischen Produkten oder pharmazeutischen Seiten, aber auch zu Online-Casinos, Porno-Seiten oder zu dubiosen Kreditgebern füttern.
Der Hack ist von den betroffenen Betreibern nur schwer zu erkennen, da er praktisch nur für Suchmaschinen sichtbar ist. Ziel der Hacker ist es den Hack möglichst unerkannt zu halten, um so lange wie möglich die schädlichen Inhalte an Suchmaschinen zu übermitteln. Unser Programm emuliert daher den Google-Bot, um infizierte Dateien und Verzeichnisse zu erkennen, die mit einem normalen Browser völlig unverdächtig aussehen

Was sind die Ziele des Pharma Hacks?


Ziel des Pharma Hacks ist es, den promoteten Seiten ein höheres Ranking in Suchmaschinen zu verschaffen und dem Hacker eine Menge Geld. Google und andere Suchmaschinen ermitteln den Rang einer Seite u.a. an der Anzahl externer Seiten, die Links zu dieser gesetzt haben. Da nur die wenigsten Seitenbetreiber freiwillig auf ihren Seiten auf Viagra-Seiten linken würden, kamen einige unseriöse Anbieter darauf, ihre Seiten mit Hilfe von Hackern aufzuwerten. Opfer dieser kriminellen Taktik kann jeder Betreiber einer Webseite sein. Und, wie Google zeigt, sind es ggw. einige Millionen in aller Welt und es werden täglich mehr. Hacker lassen sich dafür bezahlen, Pharmafirmen, Casinos, Sexsites oder andere Seite auf ein hohes Ranking zu bringen. Auch manche unseriöse SEO-Firmen, die dem Käufer ein hohes Ranking bei Google u.a. versprechen, nutzen diese Art der Hilfe. Im Darknet hat sich dazu ein florierender Markt entwickelt. Die Bezahlung erfolgt in der Regel anonym mittels der digitalen Währung Bitcoins.

Wie funktioniert der Pharma Hack?


Der Pharma Hack basiert darauf,daß ein System Schwachstellen hat, über die sich der Hacker Zugang zu Ihrem System verschaffen kann. Dies können Versionen sein, die noch Fehler aufweisen und lange nicht upgedated wurden. Es können aber auch ganz neu entdeckte Exploits und Bugs sein, über die der Angreifer das System attackieren kann. Achten Sie künftig daher darauf, daß Ihr System immer auf dem neuesten Stand ist und nicht gepatchte Module oder Templates abgeschaltet werden, bis die Sicherheitslücke beseitigt wurde. Die Exploit-Datenbank von Offensive Security zeigt täglich genau und zeitnah, welche Bedrohungen bei welchen Systemen und Programmen existieren.
Zur Zeit sind vor allem zwei Methoden üblich.
Bei Methode 1 werden die Inhalte direkt auf den betroffenen Server geladen. Bei Methode 2 wird der schädliche Inhalt jeweils beim Besuch eines Suchmaschinen-Bots per Java, Html oder PHP geladen. Methode 2 ist natürlich schwieriger zu erkennen als Methode 1. Der Pharma Hack Detector ermittelt die Schädlinge bei beiden Methoden. Bei beiden Methoden werden zudem in der Regel sogenannte Backdoors installiert, um auch bei Erkennung oder Updates weiterhin Zugang zum betroffenen System zu haben. Ein Teil des Pharma Hack Detectors beschäftigt sich daher mit dem Erkennen und Beseitigen dieser Backdoors. Im Einzelnen können dies Programme und sog. Shells aber auch User Ihres Systems sein. Nur, wenn auch die Backdoors erkannt und beseitigt sind, kann man einigermassen sicher sein.

Was sind die Folgen des Pharma Hacks?


Im Gegensatz zu den bekannten Hacks, bei denen die Webseite verunstaltet, beschädigt oder zerstört wird, versucht der Pharma Hack möglichst unerkannt zu bleiben, um möglichst lange aktiv zu sein und seinem Verursacher möglichst lange von Nutzen zu sein.
Also alles gar nicht so schlimm? Das Gegenteil ist der Fall. Der Pharma Hack kann für die betroffenen Seiten und ihre Betreiber verheerend sein. Rückgängige Besucherzahlen ! Besucher meiden verständlicher Weise Seiten, auf denen für Viagra, Pornos, Casinos u.a. geworben wird. Abstufung durch Google, Bing und Yahoo.
Bemerken Google u.a. diese Art der manipulativen Werbung, wird die Seite in der Suche nicht nur heruntergestuft, sondern es erscheinen bei der Suche die Meldung von Google, daß die Seite möglicherweise gehackt wurde. Somit werden auch Web-Antiviren-Programme vor dem Besuch Ihrer Seite warnen.
Hier können Sie überprüfen,ob Ihre Seite schon möglicherweise auf einer von 11 Blacklist . ist. Die Seite kann sogar komplett aus dem Suchindex gelöscht werden, womit man dann im Internet praktisch nicht mehr existiert. Seiten, die durch den Pharma Hack betroffen sind, sind ausserdem leicht zu finden und damit potentielle Opfer für weitere Hacker ,die wissen, daß diese Seite verwundbar ist.
Seiten, die den Pharma Hack nicht entfernen, werden mit der Zeit mehr und mehr Links zu ungewünschten Seiten bekommen. Die Hacker fangen meist mit einigen wenigen Links oder Seiten an, um zu testen, ob Ihre Webseite für sie sicher ist und der Hack nicht entdeckt wird. Mit der Zeit spielen sie dann immer mehr Links auf Ihre Seite. Der Rekord an üblen Links, den unser Suchskript gefunden hat liegt bei 25664.
Diese Seite wurde mittlerweile von Google aus dem Suchindex entfernt. Das ist natürlich für den Betreiber ärgerlich, wenn nicht sogar existenzbedrohend.
Ein wichtiger Teil der Bereinigung liegt daher im Relisting bei Google und Co. Ihrer Seiten nach erfolgter Bereinigung. Auch hierbei hilft Ihnen der Pharma Hack Detector.

Beseitigung des Pharma Hacks


Die Beseitigung des Pharma Hacks umfasst 7 Phasen, bei denen Sie der Pharma Hack Detector unterstützt:
  1. Verstehen und Erkennen, wie die Seite gehackt wurde.
  2. Wo sind die schädlichen Inhalte und Links versteckt.
  3. Welche Backdoors, Shells und illegale User gibt es
  4. Beseitigung schädlicher Inhalte, kompromitierter Inhalte, Backdoors und illegaler Benutzer.
  5. Updaten des Systems und aller verwendeten Templates und Module
  6. Relisting der Seiten bei Google und Co.
  7. Künftige Überwachung der Seiten.


Beispiele gehackter Seiten


An diesem Beispiel sehen Sie, wie der Google-Bot die Seite sieht. Im Kopfbereich sind hunderte Links zu Viagra- und anderen Seiten zu sehen. Diese Bild haben wir am 24.9.2015 mit und ohne Google-Bot-Emulation aufgenommen.
Wenn Sie mit der Maus über das Bild gehen, sehen Sie die Seite, wie der normale Betrachter. Die Links sind in diesem Fall nicht zu sehen. Das verdeutlicht vielleicht am einfachsten, wie der Pharma Hack wirkt.

Die Google-Bot-Emulation wurde mit dem Pharma Hack Detector durchgeführt.



Und nochmal eine andere Seite mit und ohne Google-Bot-Ansicht. Achten Sie auch hier auf die geänderten Links im Kopfbereich der Seite.



Selbstverständlich haben wir die Betreiber dieser beiden Seiten bereits darüber informiert, daß ihre Seiten durch den Pharma Hack betroffen sind. Die Google-Bot-Emulation wurde mit dem Pharma Hack Detector durchgeführt.







Gegenwärtig gibt es den Pharma Hack Detector für die CMS-Systeme Joomla©, Wordpress© und Drupal©. Verisionen für Typo© und andere CMS-Systeme kommen in Kürze hinzu.

Spätestens 24 Stunden nach Kauf erhalten Sie per Email (an die in PayPal hinterlegte Emailadresse)die Rechnung für Ihre Buchhaltung, den Lizenz-Code sowie die Zugangsdaten zum Download des Pharma Hack Detectors.

Pharma Hack Detetor