Website leitet auf ein Casino weiter: finden und entfernen

Wenn Ihre Seite statt Ihrer Website ein Casino oder eine Wettseite öffnet, besonders auf dem Handy oder beim Aufruf aus der Suche, ist das fast immer ein Hack und kein Virus auf Ihrem Computer. Der Code wird so platziert, dass der Betreiber ihn nie sieht: am Computer wirkt alles normal, während Besucher und Google die Weiterleitung bekommen. Unten: wie Sie bestätigen, dass das Problem die Website ist, wo genau der Code steckt und wie Sie die Weiterleitung entfernen, damit sie nicht zurückkommt.

Inhalt
  1. Hack oder Browser-Virus
  2. Website jetzt prüfen
  3. Warum nicht jeder es sieht
  4. Wo der Code steckt
  5. Schritt für Schritt entfernen
  6. Warum es zurückkommt
  7. Joomla oder WordPress
  8. Wann einen Fachmann rufen

Ist es ein Hack der Website oder ein Virus im Browser

Klären Sie zuerst, wo das Problem sitzt, denn die Behebung unterscheidet sich:

  • Öffnen Sie die Seite auf einem Handy über Mobilfunk und bitten Sie jemanden in einer anderen Stadt. Leitet es auch dort um, liegt es an der Website.
  • Leiten viele verschiedene Seiten nur bei Ihnen auf ein Casino um, liegt es an Ihrem Browser oder einer Erweiterung.
  • Leitet nur Ihre Seite um, und nur bei einem Teil der Besucher, ist es ein Hack.

Das Folgende behandelt den Fall, dass die Website selbst das Problem ist, der übliche hinter „meine Seite leitet auf ein Casino weiter".

Prüfen Sie Ihre Website jetzt sofort

Das Werkzeug öffnet Ihre Website von außen, so wie eine Suchmaschine und ein mobiler Besucher sie sehen. Genau ihnen wird die Weiterleitung meist ausgeliefert. Eine mobile Weiterleitung, Cloaking und ein veraltetes CMS werden sofort sichtbar. Ein Zugang zur Website ist nicht nötig.

Ich prüfe: Defacement, mobile Weiterleitung, Cloaking, die CMS-Version und ob sie aktuell ist.

Ich prüfe die Website von außen...

Warum nicht jeder die Weiterleitung sieht

Das Tückische an diesem Hack ist, dass die Weiterleitung selektiv auslöst, deshalb ist der Betreiber oft sicher, alles sei in Ordnung:

  • Nur mobil. Am Computer öffnet die Seite normal, Handys werden zu einem Casino geschickt.
  • Nur aus der Suche. Direkt über die Adresse gibt es keine Weiterleitung, aus Google schon.
  • Einmal pro Gerät. Es leitet nur beim ersten Besuch um, setzt dann ein Cookie und verhält sich brav.
  • Cloaking. Der Googlebot sieht eine saubere Seite, ein echter Besucher die Weiterleitung.

Ein einzelner Aufruf am Computer beweist also nichts. Prüfen müssen Sie so, wie echte Besucher ankommen.

Wo der Code tatsächlich steckt

Die typischen Stellen, an denen der Weiterleitungs-Code platziert wird:

  • .htaccess im Root oder in Unterordnern: eine RewriteRule mit Bedingung auf Mobil oder den Referrer.
  • index.php und die Dateien des aktiven Templates: die Injektion sitzt meist in den ersten Zeilen, oft über eval(base64_decode(...)) oder base64.
  • Die Datenbank: bei WordPress wp_options und wp_posts, bei Joomla die Template-Parameter in #__template_styles.
  • Ein Fremd-JS: ein von einer fremden Domain geladenes Skript, das die Weiterleitung im Browser ausführt.

Deshalb schweigt der Hosting-Virenscanner oft: Der Code sitzt in der Datenbank oder in den .htaccess-Regeln, während die Dateien selbst sauber sind.

Wie Sie die Weiterleitung Schritt für Schritt entfernen

  1. Erstellen Sie eine Kopie des aktuellen Zustands, auch infiziert.
  2. Ändern Sie alle Passwörter: Admin, FTP und SSH, Datenbank, Hosting-Panel.
  3. Prüfen Sie .htaccess im Root und in Unterordnern, entfernen Sie fremde RewriteRule-Einträge.
  4. Prüfen Sie index.php und die Template-Dateien auf Injektion in den ersten Zeilen.
  5. Prüfen Sie die Datenbank auf fremde Skripte und Domains in Template-Parametern und Beiträgen.
  6. Finden und löschen Sie Web-Shells: unbekannte .php-Dateien in uploads oder media.
  7. Aktualisieren Sie CMS und Erweiterungen, entfernen Sie ungenutzte.

Warum die Weiterleitung nach dem Bereinigen zurückkommt

Die häufigste Klage: den Code entfernt, und einen Tag später ist die Weiterleitung wieder da. Der Grund ist einfach, es wurde das Symptom entfernt, nicht das Einfallstor:

  • Eine Web-Shell blieb zurück, über die der Code erneut hochgeladen wird.
  • Ein Cron-Job läuft, der die Weiterleitung planmäßig wiederherstellt.
  • Die beim ersten Mal genutzte Schwachstelle wurde nie geschlossen.

Die Weiterleitung entfernen und das Einfallstor schließen sind zwei verschiedene Aufgaben. Ohne die zweite wird die Seite auf demselben Weg erneut gehackt, oft am selben Tag.

Wenn die Seite auf Joomla oder WordPress läuft

Joomla. Joomla 3 ist besonders gefährdet: keine Sicherheitsupdates seit dem 17. August 2023. Man kommt über Erweiterungen (JCE, SP Page Builder) oder das Helix3-Framework hinein und versteckt die Weiterleitung in den Template-Parametern in der Datenbank. Ohne Umstieg auf Version 5 oder 6 wird die Seite erneut infiziert.

WordPress. Sehen Sie sich wp_options (die Felder siteurl, home und eigene Einträge), wp_posts, die functions.php des aktiven Themes und den uploads-Ordner an: dort dürfen keine .php-Dateien liegen. Der Weg hinein ist meist ein vernachlässigtes Plugin.

Wann Sie einen Fachmann rufen

Es lohnt sich, keine Zeit zu verlieren, wenn:

  • Sie bereits bereinigt haben und die Weiterleitung zurückkam;
  • der Code in der Datenbank oder in der .htaccess steckt und der Hosting-Virenscanner schweigt;
  • es nur mobil oder nur aus der Suche umleitet und Sie den Code nicht zu fassen bekommen;
  • der Hoster das Konto wegen Schadsoftware gesperrt hat;
  • kein funktionierendes sauberes Backup vorhanden ist.

Ich finde und entferne die Casino-Weiterleitung auf jedem CMS und schließe das Einfallstor, damit sie nicht zurückkommt. Die Diagnose ist kostenlos. Ich arbeite mit Website-Betreibern aus der Ukraine, aus Polen und mit Russischsprachigen in der EU. Mit in Russland registrierten juristischen Personen arbeite ich nicht: Das ist eine Beschränkung der EU-Sanktionen.

Details und Anfrage

Häufige Fragen

Meine Seite leitet nur auf dem Handy auf ein Casino weiter. Warum?

Das ist eine typische mobile Weiterleitung: Der Code prüft das Gerät und löst nur auf Handys aus. Am Computer öffnet die Seite normal, deshalb bemerkt es der Betreiber lange nicht, während mobiler Traffic zum Casino abfließt.

Ich habe die Seite bereinigt und die Weiterleitung kam zurück. Was lief falsch?

Sie haben das Symptom entfernt, nicht das Einfallstor. Eine Web-Shell oder ein Cron-Job blieb zurück und stellt den Code wieder her, oder die genutzte Schwachstelle wurde nie geschlossen. Man muss das Einfallstor finden, sonst kommt die Weiterleitung wieder.

Woher weiß ich, dass es nicht mein Browser ist?

Öffnen Sie die Seite von einem anderen Gerät und Netz und bitten Sie jemanden in einer anderen Stadt. Leitet es auch dort um, liegt es an der Website. Leiten dagegen viele Seiten nur bei Ihnen auf ein Casino um, ist es Ihr Browser oder eine Erweiterung.

Der Hosting-Virenscanner meldet alles als sauber. Warum gibt es die Weiterleitung?

Weil der Scanner Dateien nach Signaturen prüft, während der Weiterleitungs-Code oft in der Datenbank oder in .htaccess-Regeln steckt. Die Dateien sind dabei wirklich sauber. Ein stiller Scanner bedeutet nicht, dass die Seite in Ordnung ist.

Kann ich einfach auf ein Backup zurücksetzen?

Manchmal, aber nur wenn das Backup sicher sauber ist und Sie das Infektionsdatum kennen. Oft enthält das Backup den Code bereits. Und vor allem schließt ein Rücksetzen die Schwachstelle nicht, deshalb wird die Seite erneut infiziert.

Telegram