Tach!

Ruft man dieselbe Seite allerdings aus dem google-Cache auf, ist die Seite gespickt mit Links zu diversen Pornoseiten.

Ist das ein Problem von bzw. bei google?

Davon würde ich nicht ausgehen.

Oder wie geht das? Die Seite ist ja nicht im eigentlichen Sinne gehackt. Der Content in der DB ist unangetastet.

Ich würde eher davon ausgehen, dass die Seite selbst gehackt wurde, und an eine oder mehrere der Dateien der Müll angehängt wurde.

Die Pornolinks tauchen leider auch in der Description beim Google-Link auf, weil dummerweise für die Seite keine meta description existierte.

Beim nächsten Crawling durch google hat sich das erledigt, aber ich würde trotzdem gerne wissen, wie so was geht bzw. wie man das verhindern kann.

Möglicherweise ist der Müll durch ein Update auf eine neuere Version verschwunden, weil die betroffene(n) Datei(en) überschrieben wurde(n). Es kann aber auch sein, dass er immer noch da ist, auch in Form zusätzlicher Dateien. Angreifer wollen gern, dass ihr Code nicht entdeckt wird und verschleiern ihn mit einer ganzen Menge an Maßnahmen. Und fallen gerade deswegen auf, weil sie sich vom restlichen Code unterscheiden, der im Klartext vorliegt.

Verhindern kann man das nicht vollständig, besonders nicht, wenn man Fremdsoftware verwendet oder zu einfaches Passwort. Aber erkennen kann man sowas, wenn man Änderungen in Dateien erkennen kann. Auf gemietetem Webspace hat man schlecht Karten, weil man da Programme wie AIDE (Advanced Intrusion Detection Environment) nicht laufen lassen kann. Auf Servern hingegen kann man damit Änderungen aufzeigen und dann untersuchen. Auch die Login-Seite zusätzlich noch einmal mit einer HTTP-Authentication (.htaccess) zu schützen ist ein gutes Mittel, um ein paar Bots fernzuhalten, die das nicht erwarten. Andere Intrusion Detection Systeme (zum Beispiel Fail2Ban) können auch die Chancen der Angreifer herabsetzen.

dedlfix.