Pharma-Hack: Viagra-Spam aus den Google-Ergebnissen entfernen
Wenn Google Seiten über Viagra, Cialis oder andere Pillen unter Ihrer Domain zeigt, ist das ein verbreiteter Angriff, der Pharma-Hack. Auf der Website wird ein Skript platziert, das Spam-Seiten mit Werbung für gefälschte Medikamente erstellt und mit Affiliate-Apotheken Geld verdient. Ihre eigenen Inhalte sind noch da, aber der Suchindex ist mit fremden Seiten verschmutzt, und Google kann die Website als gehackt markieren. Unten: wie Sie den Pharma-Hack bestätigen, wo die Backdoor steckt und wie Sie den Spam bereinigen, damit er nicht zurückkommt.
Was es ist: der Pharma-Hack
Der Pharma-Hack ist das Einschleusen von medikamentenbezogenen Spam-Seiten und Keywords auf eine fremde Website. Das Schema ist etabliert:
- Eine Backdoor wird platziert, die Seiten mit Werbung für Viagra, Cialis und andere Pillen erstellt.
- Cloaking ist üblich: Dem Suchbot wird eine Apothekenseite ausgeliefert, einem echten Besucher die normale Website. Deshalb bemerkt es der Betreiber lange nicht.
- Die Seiten verdienen über Affiliate-Programme gefälschter Online-Apotheken.
Wie Sie bestätigen, dass es der Pharma-Hack ist
Die verräterischen Anzeichen des Pharma-Hacks:
- Eine
site:ihredomain-Abfrage in Google zeigt Seiten mit Wörtern wie viagra, cialis und pills. - Apotheken-Titel und -Beschreibungen, die Sie nie geschrieben haben, erscheinen in Ihren Snippets.
- Beim Aufruf aus der Suche öffnet die Website manchmal eine Online-Apotheke.
- Der Bericht „Sicherheitsprobleme" in der Search Console meldet gehackte Inhalte.
Prüfen Sie Ihre Website jetzt sofort
Das Werkzeug öffnet Ihre Website von außen mit den Augen eines Suchbots und eines mobilen Besuchers. Ihnen wird meist die Apothekenversion ausgeliefert. Cloaking, eine Weiterleitung und ein veraltetes CMS werden sofort sichtbar. Ein Zugang zur Website ist nicht nötig.
Warum es gefährlich ist
Pharma-Spam ist nicht nur Unrat in den Ergebnissen:
- Der Index wird mit fremden Seiten verschmutzt, Ihre eigenen fallen in den Rankings.
- Google markiert die Website als gehackt, und in den Ergebnissen erscheint eine Warnung.
- Die Domain verliert Vertrauen: Die Verbindung zu gefälschten Medikamenten schadet Ihrem Ruf.
- Solange die Backdoor lebt, wächst die Zahl der Spam-Seiten jeden Tag.
Wo der Code tatsächlich steckt
Um den Spam dauerhaft zu entfernen, müssen Sie den Mechanismus finden, nicht nur die Seiten:
- Die Backdoor: unbekannte .php-Dateien mit zufälligen Namen in den Ordnern uploads, media oder cache.
- Cloaking: Code in
index.phpoder den Template-Dateien prüft, wer besucht, oft übereval(base64_decode(...)). - Die Datenbank: eine Injektion in Template-Parameter oder Einträge, aus denen die Seiten zusammengesetzt werden.
- Regeln in der
.htaccessund eine fremde Sitemap mit Apotheken-URLs. - Ein Cron-Job: stellt die Seiten und die Backdoor nach dem Löschen wieder her.
Deshalb schweigt der Hosting-Virenscanner oft: Ein Teil der Logik steckt in der Datenbank, und die Backdoor-Dateien tarnen sich als legitim.
Wie Sie bereinigen Schritt für Schritt
- Ändern Sie alle Passwörter: Admin, FTP und SSH, Datenbank, Hosting-Panel.
- Prüfen Sie in der Search Console die Liste der Inhaber und entfernen Sie alle, die Sie nicht hinzugefügt haben.
- Finden und löschen Sie Backdoors: unbekannte .php-Dateien, prüfen Sie die Änderungsdaten.
- Löschen Sie die erzeugten Apothekenseiten und die fremde Sitemap, reichen Sie Google Ihre echte Sitemap ein.
- Prüfen Sie Datenbank und Cron-Jobs auf Code, der die Seiten neu erzeugt.
- Aktualisieren Sie CMS und Erweiterungen, schließen Sie die genutzte Schwachstelle.
Wenn die Seite auf Joomla oder WordPress läuft
Joomla. Am stärksten betroffen ist Joomla 3, ohne Sicherheitsupdates seit dem 17. August 2023. Man kommt über verwundbare Erweiterungen hinein und versteckt die Backdoor im media-Ordner oder in den Template-Parametern in der Datenbank. Ohne Umstieg auf Version 5 oder 6 kommt der Spam zurück.
WordPress. Sehen Sie sich den uploads-Ordner an (dort dürfen keine .php-Dateien liegen), die Tabellen wp_options und wp_posts sowie die functions.php des aktiven Themes. Der Weg hinein ist meist ein vernachlässigtes Plugin.
Wann Sie einen Fachmann rufen
Es lohnt sich, keine Zeit zu verlieren, wenn:
- Sie die Seiten gelöscht haben und sie neu erzeugt wurden;
- ein fremder Inhaber in der Search Console steht und Sie unsicher sind, wie Sie alles bereinigen;
- die Backdoor nicht zu finden ist, während der Spam sich vermehrt;
- Google die Website bereits als gehackt markiert hat;
- kein funktionierendes sauberes Backup vorhanden ist.
Ich bereinige den Pharma-Spam auf jedem CMS: entferne die Seiten, finde die Backdoor, räume die Search Console auf und schließe das Einfallstor, damit es nicht zurückkommt. Die Diagnose ist kostenlos. Ich arbeite mit Website-Betreibern aus der Ukraine, aus Polen und mit Russischsprachigen in der EU. Mit in Russland registrierten juristischen Personen arbeite ich nicht: Das ist eine Beschränkung der EU-Sanktionen.
Details und AnfrageHäufige Fragen
Google zeigt Viagra-Werbung unter meiner Seite. Habe ich einen Virus auf dem Computer?
Nein, es ist ein Hack der Website selbst, der Pharma-Hack. Es wurde ein Skript platziert, das Apotheken-Spam-Seiten erstellt. Ihr Computer und Browser haben nichts damit zu tun, das Problem liegt auf dem Server der Website.
Ich habe die Apothekenseiten gelöscht und sie kamen zurück. Warum?
Weil eine Backdoor oder ein Cron-Job zurückblieb, der sie neu erstellt, und das Einfallstor nicht geschlossen wurde. Seiten löschen und den Mechanismus entfernen sind zwei verschiedene Dinge. Ohne die Backdoor zu finden, kommt der Spam binnen eines Tages zurück.
Ich rufe meine Seite auf und sehe kein Viagra. Woher kommt es in Google?
Das ist Cloaking: Die Apothekenseiten werden nur dem Suchbot gezeigt, während die Seite für Sie normal aussieht. Google indexiert, was der Bot sieht, deshalb erscheint der Spam in den Ergebnissen und nicht auf der Seite selbst.
Der Hosting-Virenscanner meldet alles als sauber. Warum gibt es Spam?
Weil ein Teil des Mechanismus in der Datenbank steckt und die Backdoor-Dateien sich als legitim tarnen, ohne bekannte Signaturen. Ein Signatur-Scan sieht sie nicht. Ein stiller Scanner bedeutet nicht, dass die Seite sauber ist.
Kann ich Google einfach bitten, diese Seiten zu entfernen?
Sie können sie aus den Ergebnissen entfernen, aber das ist keine Behebung. Solange die Backdoor lebt, werden die Seiten schneller neu erstellt, als Sie sie löschen können. Bereinigen Sie zuerst die Website und entfernen Sie erst dann die Seiten aus dem Index.