Japanische Zeichen in Google: den Japanese Keyword Hack entfernen

Wenn Google Seiten mit japanischen Zeichen in den Titeln unter Ihrer Domain zeigt, ist das ein verbreiteter Angriff, der Japanese Keyword Hack. Auf der Website wird ein Skript platziert, das massenhaft Spam-Seiten auf Japanisch erzeugt, um mit Affiliate-Links Geld zu verdienen. Ihre eigenen Inhalte sind noch da, aber der Suchindex ist mit Tausenden fremden Seiten geflutet. Unten: wie Sie diesen Hack bestätigen, wo die Backdoor steckt und wie Sie bereinigen, damit der Spam nicht zurückkommt.

Inhalt
  1. Was es ist
  2. Wie Sie es bestätigen
  3. Website jetzt prüfen
  4. Warum es gefährlich ist
  5. Wo der Code steckt
  6. Schritt für Schritt bereinigen
  7. Joomla oder WordPress
  8. Wann einen Fachmann rufen

Was es ist: der Japanese Keyword Hack

Der Japanese Keyword Hack ist die automatische Erzeugung japanischsprachiger Spam-Seiten auf einer fremden Website. Das Schema ist etabliert:

  • Eine Backdoor wird hochgeladen, die Tausende Seiten mit japanischen Titeln und Links zu fragwürdigen Shops erstellt.
  • Der Angreifer fügt sich oft selbst als Inhaber der Website in der Google Search Console hinzu, um die Indexierung zu steuern und eine eigene Sitemap einzureichen.
  • Die Seiten zielen auf japanische Suchanfragen, deshalb fallen sie in Ihrem Land zunächst nicht auf, während sie Traffic und das Vertrauen der Domain fressen.

Wie Sie bestätigen, dass es dieser Hack ist

Die verräterischen Anzeichen des Japanese Keyword Hack:

  • Eine site:ihredomain-Abfrage in Google zeigt Seiten mit japanischen Zeichen in Titeln und Beschreibungen.
  • In der Search Console ist die Zahl der indexierten Seiten sprunghaft gestiegen, mit Seiten, die Sie nie erstellt haben.
  • Sie haben eine E-Mail von Google über einen neuen Website-Inhaber erhalten, den Sie nicht hinzugefügt haben.
  • Der Bericht „Sicherheitsprobleme" meldet gehackte Inhalte.

Prüfen Sie Ihre Website jetzt sofort

Das Werkzeug öffnet Ihre Website von außen mit den Augen eines Suchbots und eines mobilen Besuchers. Cloaking, Weiterleitungen und ein veraltetes CMS werden sofort sichtbar. Ein Zugang zur Website ist nicht nötig.

Ich prüfe: Defacement, mobile Weiterleitung, Cloaking, die CMS-Version und ob sie aktuell ist.

Ich prüfe die Website von außen...

Warum es gefährlich ist

Der japanische Spam ist nicht nur hässlich in den Ergebnissen:

  • Der Index wird mit Tausenden fremden Seiten geflutet, Ihre eigenen fallen in den Rankings.
  • Google kann die Website als gehackt markieren, und in den Ergebnissen erscheint eine Warnung.
  • Die Spam-Seiten führen oft zu Affiliate-Shops oder leiten Besucher um.
  • Solange die Backdoor lebt, wächst die Seitenzahl jeden Tag.

Wo der Code tatsächlich steckt

Um den Spam dauerhaft zu entfernen, müssen Sie den Mechanismus finden, nicht nur die Seiten:

  • Die Backdoor: unbekannte .php-Dateien in zufälligen Ordnern (uploads, media, cache), oft mit zufälligen Namen.
  • Die Datenbank: eine Injektion in Parameter oder Einträge, aus denen die Seiten erzeugt werden.
  • Eine fremde Sitemap: eine Sitemap mit japanischen URLs, im Root oder in der Search Console.
  • Ein Cron-Job: stellt die Seiten und die Backdoor nach dem Löschen wieder her.

Deshalb schweigt der Hosting-Virenscanner oft: Ein Teil der Logik steckt in der Datenbank, und die Backdoor-Dateien tarnen sich als legitim.

Wie Sie bereinigen Schritt für Schritt

  1. Ändern Sie alle Passwörter: Admin, FTP und SSH, Datenbank, Hosting-Panel.
  2. Prüfen Sie in der Search Console die Liste der Inhaber und entfernen Sie alle, die Sie nicht hinzugefügt haben.
  3. Finden und löschen Sie Backdoors: unbekannte .php-Dateien, prüfen Sie die Änderungsdaten.
  4. Löschen Sie die erzeugten Spam-Seiten und die fremde Sitemap, reichen Sie Google Ihre echte Sitemap ein.
  5. Prüfen Sie Datenbank und Cron-Jobs auf Code, der die Seiten neu erzeugt.
  6. Aktualisieren Sie CMS und Erweiterungen, schließen Sie die genutzte Schwachstelle.

Wenn die Seite auf Joomla oder WordPress läuft

Joomla. Am stärksten betroffen ist Joomla 3, ohne Sicherheitsupdates seit dem 17. August 2023. Man kommt über verwundbare Erweiterungen hinein und versteckt die Backdoor in den Ordnern media oder images. Ohne Umstieg auf Version 5 oder 6 kommt der Spam zurück.

WordPress. Sehen Sie sich den uploads-Ordner an (dort dürfen keine .php-Dateien liegen), wp_options und wp_posts sowie die Dateien des aktiven Themes. Der Weg hinein ist meist ein vernachlässigtes Plugin.

Wann Sie einen Fachmann rufen

Es lohnt sich, keine Zeit zu verlieren, wenn:

  • Sie die Seiten gelöscht haben und sie neu erzeugt wurden;
  • ein fremder Inhaber in der Search Console steht und Sie unsicher sind, wie Sie alles bereinigen;
  • die Backdoor nicht zu finden ist, während der Spam sich vermehrt;
  • Google die Website bereits als gehackt markiert hat;
  • kein funktionierendes sauberes Backup vorhanden ist.

Ich bereinige den japanischen Spam auf jedem CMS: entferne die Seiten, finde die Backdoor, räume die Search Console auf und schließe das Einfallstor, damit es nicht zurückkommt. Die Diagnose ist kostenlos. Ich arbeite mit Website-Betreibern aus der Ukraine, aus Polen und mit Russischsprachigen in der EU. Mit in Russland registrierten juristischen Personen arbeite ich nicht: Das ist eine Beschränkung der EU-Sanktionen.

Details und Anfrage

Häufige Fragen

Google zeigt japanische Zeichen unter meiner Seite. Habe ich einen Virus?

Nein, es ist ein Hack der Website selbst, der Japanese Keyword Hack. Es wurde ein Skript platziert, das japanische Spam-Seiten erzeugt. Ihr Computer und Browser haben nichts damit zu tun, das Problem liegt auf dem Server der Website.

Ich habe die Spam-Seiten gelöscht und sie kamen zurück. Warum?

Weil eine Backdoor oder ein Cron-Job zurückblieb, der sie neu erzeugt, und das Einfallstor nicht geschlossen wurde. Seiten löschen und den Mechanismus entfernen sind zwei verschiedene Dinge. Ohne die Backdoor zu finden, kommt der Spam binnen eines Tages zurück.

Google hat einen neuen Inhaber hinzugefügt, den ich nie hinzugefügt habe. Was ist das?

Ein typischer Teil des japanischen Hacks: Der Angreifer bestätigt die Inhaberschaft in der Search Console, um die Indexierung zu steuern und eine eigene Sitemap einzureichen. Dieser Inhaber muss aus der Liste entfernt werden, und Sie müssen herausfinden, wie er bestätigt hat (eine Bestätigungsdatei oder ein DNS-Eintrag).

Der Hosting-Virenscanner meldet alles als sauber. Warum gibt es Spam?

Weil ein Teil der Logik in der Datenbank steckt und die Backdoor-Dateien sich als legitim tarnen, ohne bekannte Signaturen. Ein Signatur-Scan sieht sie nicht. Ein stiller Scanner bedeutet nicht, dass die Seite sauber ist.

Kann ich Google einfach bitten, diese Seiten zu entfernen?

Sie können sie aus den Ergebnissen entfernen, aber das ist keine Behebung. Solange die Backdoor lebt, werden die Seiten schneller neu erzeugt, als Sie sie löschen können. Bereinigen Sie zuerst die Website und entfernen Sie erst dann die Seiten aus dem Index.

Telegram