1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

google zeigt auf falsche Site

Dieses Thema im Forum "Allgemeines" wurde erstellt von mcn, 16. Mai 2017.

  1. mcn

    mcn New Member

    Registriert seit:
    16. Mai 2017
    Beiträge:
    4
    Zustimmungen:
    0
    Hallo
    ich wurde darauf aufmerksam gemacht, dass über meine website nach anderswo
    umgeleitet wird. Googlet man site:pixelmixer.ch, wird man zu
    https://speedypaper.com/ geleitet. Ich finde keinen Schadencode.
    Die description entspricht nicht der originalen.

    Bsp: https://www.google.ch/?gws_rd=ssl#q=site:pixelmixer.ch+essay

    Können Sie mir bitte weiterhelfen?

    mit bestem Dank und freundlichen Grüssen
    MC. Niquille
    pixelmixer.ch
     
  2. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.636
    Zustimmungen:
    1.778
    Schadcode dürfte an div. Stellen in WordPress Systemdateien und auch zusätzlichen Dateien in den WordPress Systemordnern wp-includes und wp-admin zu finden sein. Hin und wieder auch in plugins, themes und uploads.

    Dein Website ist derzeit gehackt und sollte ordentlich bereinigt werden. Dazu gibt es div. Anleitungen im Netz, man sollte sich aber schon etwas mit dem Thema auskennen, um nichts zu vergessen. Weiteres gern per PN.

    So kannst Du suchen: Schadcode befindet sich bei diversen Hacks u.a. in der ersten Zeile von allen möglichen WordPress .php Dateien ganz weit nach rechts eingerückt, oft auch in wp-config.php. Ein einfaches "Drüberkopieren" von sauberen Dateien für WordPress System bzw. Themes und Plugins reicht nicht aus, da dies die zusätzlich verteilten Dateien bestehen lässt.
     
    #2 b3317133, 16. Mai 2017
    Zuletzt bearbeitet: 16. Mai 2017
  3. mcn

    mcn New Member

    Registriert seit:
    16. Mai 2017
    Beiträge:
    4
    Zustimmungen:
    0
    Vielen Dank für die schnelle Antwort.
    Welches sind die Systemdateien?
     
  4. danielgoehr

    danielgoehr Well-Known Member

    Registriert seit:
    13. Juli 2016
    Beiträge:
    2.674
    Zustimmungen:
    128
    Wenn du diese Frage stellst, würde ich nochmal ausdrücklich auf folgenden Satz Hinweise wollen:
    Das ist jetzt nicht böse gemeint, aber eine Bereinigung ist nicht ganz ohne und erfordert schon ein bisschen Fachwissen. Ich würde dir deshalb raten, einen Dienstleister zu beauftragen (z.B. hier über das Jobforum).

    Edit: Alternative könntest du ein "sauberes" Backup zurückspielen, sofern vorhanden. Du solltest dann aber die Sicherheitslücke schließen (vermutlich veraltete Software oder kompromitierte Passwörter).
     
    #4 danielgoehr, 16. Mai 2017
    Zuletzt bearbeitet: 16. Mai 2017
  5. mcn

    mcn New Member

    Registriert seit:
    16. Mai 2017
    Beiträge:
    4
    Zustimmungen:
    0
    'Leider' ist kein Schadcode zu finden (auch vom Provider gescant).
    Kann in der Datenbank etwas schief laufen?

    wie kann es sein, dass pixelmixer.ch/writing-a-good-introduction-to-an-essay
    nach speedypaper linkt?!

    Ein backup hätte ich.

    vielen Dank für die Unterstützung
    Marie-Claire
     
  6. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.317
    Zustimmungen:
    582
    Du kannst keiner Datei und keinem Datensatz mehr trauen - du bist gehackt worden.

    Toll, dass dein Provider gescannt hat - in der regel könnte dieser jetzt sagen, welche Datei sich geändert hat und welche Datei neu ist.



    In dem man einfach eine Weiterleitung in dein Script einbaut. Ob diese jetzt in der Datenbank ist oder in einem Script spielt ja keine Rolle.

    schön - und dann musst du nur noch die Sicherheitslücke finden, damit dein Hacker nicht erneut die Weiterleitung einrichtet.

    Viel Glück bei der Suche.

    Ralf
     
  7. danielgoehr

    danielgoehr Well-Known Member

    Registriert seit:
    13. Juli 2016
    Beiträge:
    2.674
    Zustimmungen:
    128
    Kennst du die Seite speedypaper denn? Also hast du damit schon mal irgendetwas zu tun gehabt?

    Wenn nein, *muss* es irgendwo "Schadcode" geben. Zumindest in dem Sinne, dass Dateien manipuliert wurden. Und wenn das zutrifft, gibt es auch eine Sicherheitslücke.
    Die manipulierten Dateien müssen natürlich für den Benutzer nicht zwangsläufig etwas schädliches machen. Aber zumindest schaden sie dir, indem Sie deine Traffic wegleiten (und ich vermute, durch einen 301 Redirect auch deine Link-Juice "klauen").

    Wenn das Backup vorhanden ist, wäre das zumindest ein Weg, den du ausprobieren kannst. Wenn du aber die Lücke anschließnend nicht behebst, wird es schnell wieder passieren.


    Edit: Gleichzeitig mit @r23 gepostet, deshalb mit inhaltlichen Überscheidungen...
     
  8. mcn

    mcn New Member

    Registriert seit:
    16. Mai 2017
    Beiträge:
    4
    Zustimmungen:
    0
    Nein, ich kenne speedypaper nicht.
    danke und Gruss
     
  9. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.636
    Zustimmungen:
    1.778
    Inzwischen funktionieren die "essay" Links nicht mehr. Also hat jemand Schadcode gefunden und entfernt oder eine alte (noch) ungehackte Version wurde eingespielt.

    Die wichtigste Frage, wie kam der Schadcode ins System, wurde ja schon gestellt, die gilt es zu beantworten.

    Zudem alle Kennwörter ändern, FTP, MySQL, alle WordPress-Benutzer...
     
    #9 b3317133, 17. Mai 2017
    Zuletzt bearbeitet: 17. Mai 2017
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden