1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Google-cach zeigt Spamlinks auf Blog

Dieses Thema im Forum "Allgemeines" wurde erstellt von Pankowia, 5. Oktober 2009.

Schlagworte:
  1. Pankowia

    Pankowia Active Member

    Registriert seit:
    2. November 2006
    Beiträge:
    30
    Zustimmungen:
    0
    Der Google-cach meines Blogs zeigt Spamlinks. Bei der Suche nach den Ursachen habe ich, nachdem ich gerade eine neues Theme benutze, meine Datenbank vorsichtig durchsucht, (bin da absolut Laie und helfe mir nur mit Web- und Forumssuchen) und habe nichts gefunden.
    Einen Schnappschuss vom Googlecache meiner Seite als (nur Textversion) hänge ich mal an.
    Die Spamlinks hängen sich offenbar immer an dem neuesten Beitrag an.
    Bei einer NUR-TEXT-Speicherung der Seite habe ich sie heute auch nicht gefunden, gibt es eine Möglichkeit das so auszulesen wie Google?
    Wo ist der Fehler zu verorten, wenn er denn noch da ist...
    Und was kann bzw. muss ich tun, um das Zeug loszuwerden?
    Ich hoffe, ich habe mich erstmal klar genug ausgedrückt - sonst bitte nachfragen!
    Und vielen Dank schon mal!

    www.pc66.de
     
  2. Ammaletu

    Ammaletu Well-Known Member
    Ehrenmitglied

    Registriert seit:
    14. Juli 2007
    Beiträge:
    4.694
    Zustimmungen:
    0
    Installier Dir mal dieses AddOn im FF und stelle auf GoogleBot um:
    https://addons.mozilla.org/en-US/firefox/addon/59

    Kann sein, dass die Sachen nur eingefügt werden, wenn der Aufruf von einem Suchmaschinen-Bot kommt. Das kann man ja feststellen.

    Davon abgesehen wirst Du dann wohl leider davon ausgehen müssen, dass Dein Blog gehackt wurde, denke ich. Welche WP-Version verwendest Du? Infos zum Umgang mit der Situation sollten sich eigentlich finden lassen, aber kurz zusammengefasst: Aktuellen Stand sicherheitshalber sichern, auf neueste WP-Version upgraden, dabei auf jeden Fall alle alten Datein vom Server löschen, alles in wp-content auf Sachen durchschauen, die da nicht hingehören, Theme entweder neu einspielen (wenn unmodifiziert) oder zumindest auch sehr genau durchschauen, alle Passwörter ändern (WP, FTP, DB), Beiträge in der DB durchschauen. Ähm, ja, so in etwa. Gibt aber sicher noch bessere Tutorials. Ach ja, am Ende Google die Seiten neu indexieren lassen, nicht dass Google Dich sonst irgendwann rauswirft aus dem Index.
     
  3. Pankowia

    Pankowia Active Member

    Registriert seit:
    2. November 2006
    Beiträge:
    30
    Zustimmungen:
    0
    Hilft erstmal..., aber

    Mein Wordpress ist auf neuestem Stand, habe alle Updates jeweils mitvollzogen. 2.8.4
    Ich hab natürlich vor der Fragerei hier alles durchgesucht und versucht, das Gefundene umzustetzen.
    Ein neues Theme habe ich gerade (vor drei Tagen) aufgespielt und den Content (der letzten Beiträge) in der Datenbank geprüft. So weit ich durchsehe auch alles andee, was hier empfohlen wurde, also fremder Admin usw. Ich habe keine Ursache gefunden...

    Das von dir empfohlene AddOn spiele ich gleich auf.

    Ich habe regelmäßig auf meinem Rechner gesichert - die Datenbank - aber so lange ich nicht ahne, wo der Fehler sitzt, hat es da Sinn, beispielsweise alles runterzunehmen, Wordpress neu zu installieren und dann die Datenbank einzuspielen? (Wenn es in der sitzt - ist doch der Rest...???)

    Wenn der *Müll* nur eingespielt wird bei Aufrufen durch Suchmaschinen, wo "sitzt" er dann? Er hängt sich ja offenbar immer vor den letzten Beitrag.
    Kann ich irgendwie prüfen, was eine Suchmaschine sieht?

    Vielen, vielen Dank...
     
  4. maxe

    maxe WPDE-Team
    Mitarbeiter

    Registriert seit:
    1. Mai 2008
    Beiträge:
    19.181
    Zustimmungen:
    180
    Hatte Ammaletu hiermit gemeint:
     
  5. Pankowia

    Pankowia Active Member

    Registriert seit:
    2. November 2006
    Beiträge:
    30
    Zustimmungen:
    0
    Danke, aber...

    Danke auch dir Max...
    "The User Agent Switcher extension has been successfully installed."

    Hab ich. Da sehe ich nichts Böses auf meienr Seite.
    Kann aber an mir liegen. Muss erst lesen...
    Auf GoogleBot habe ich umgestellt...
    http://www.dynamoberlin2002.de/bfcfotos/wordpress/
     
  6. Ammaletu

    Ammaletu Well-Known Member
    Ehrenmitglied

    Registriert seit:
    14. Juli 2007
    Beiträge:
    4.694
    Zustimmungen:
    0
    Ja, oder es steckte in einem älteren Theme und ist nicht mehr aktuell. Siehst Du das im Google-Cache denn auch bei ganz neuen Beiträgen? Welches Theme setzt Du denn ein? Woher installiert?

    Theoretisch kann es a) im Theme stecken, b) in einem Plugin (irgendwelche im Einsatz gewesen, die nicht aus dem wordpress.org-Repository kamen?), c) über eine Sicherheitslücke in die PHP-Dateien kommen oder d) jemand hat es absichtlich manuell gemacht (Hat sonst noch wer den Zugang? Leicht erratbares Passwort? Gibt es andere User im Blog, ggf. auch mit weniger Rechten?.

    Zu c): Wenn auf dem gleichen Webspace noch andere Software läuft, kann natürlich auch die eine Sicherheitslücke haben, welche Zugriff aufs Dateisystem erlaubt. Eine Forensoftware zum Beispiel oder so.

    So oder so muss der Code in einer PHP-Datei stecken, die WordPress beim Ausliefern der Seite mit includiert. Theme, Plugin, Core-Datei. Oder aber Du bindest irgendwo ein externes JavaScript ein, welches Dir das in die Seite schreibt? Aber dann dürfte es der GoogleBot ja eher nicht sehen.

    Habe gerade mal im Googlecache geschaut. Das Abbild der Seite dort ist von Mitte September, also nicht direkt aktuell. Hast Du im alten Theme mal nach "_wp_footer" gesucht? Das ist die ID in dem div um die Werbung und sollte da vielleicht zu finden sein.
     
  7. Pankowia

    Pankowia Active Member

    Registriert seit:
    2. November 2006
    Beiträge:
    30
    Zustimmungen:
    0
    Ratlos

    Jetzt erst recht! is powered by WordPress | Layout based on YAML | Theme YAML Green by dynamicinternet

    ...setze ich neuerdings ein. Bis gestern am Abend gab es daran keine Schreibrechte irgendwo...
    Ja, ich habe es leider auch bei einem neuen Beitrag egfunden. Muss nochmal in der Datenbank schauen.
    Es gibt weitere Benutzer, aber ohne Schreibrecht. Kann ich doch eigentlich problemlos aus der Datenbank löschen?
    Plugins - eigentlich alle von hier oder hier empfohlen Nextgen, Update-Monitor, WP lightbox, Time-Zone. myGalerie, Akismet...

    Bei Google bin ich schon rausgeflogen, der findet nur alte Beiträge in der Blogsuche. ist mir nur nicht aufgefallen. :(

    Zugriff auf den Rechner habe nur ich und sehr selten meine Familie, aber die sind alle lieb.

    Kann es sein, dass eine Verweisseite "gehackt" ist?
    Also eine, die lediglich auf den Blog zeigt?

    Beim alten Theme habe ich alle Themeseiten durchgeguckt, die waren mir sehr vertraut, da war nichts. Beim neuen Thema verstehe ich nur Bahnhof bisher, kann kein php...

    Gibt es eine Suchfunktion mit der ich in der Datenbank nach einer Wortverbindung suchen kann? Der Blog liegt bei Host europe und die liefern phpMyAdmin zur Datenbankoberfläche. Da hab ich mich - danke an alle Foren der Welt - mühsam durchgewurstelt, verstehe aber höchstens 1 %.
    Jedenfalls habe ich versucht alles zu kontrollieren, was ich hier als Hinweise bekam.(Suchfunktion benutzt)
    Nur alle Benutzer habe ich nicht gelöscht.
     
  8. Ammaletu

    Ammaletu Well-Known Member
    Ehrenmitglied

    Registriert seit:
    14. Juli 2007
    Beiträge:
    4.694
    Zustimmungen:
    0
    Also was mir erstmal spontan noch einfällt: Es gibt das nette AntiVir-Plugin. Ähm... Hier:
    http://wordpress.org/extend/plugins/antivirus/

    Das ist sicher nicht perfekt, aber es kann nicht schaden, es mal über das aktuelle und das alte Theme laufen zu lassen. Das sucht soweit ich weiß speziell nach solchen Funktionen.

    Dann würde das Google ja nicht als Teil Deiner Seite anzeigen.


    Müsste prinzipiell mit einer Query wie dieser gehen:

    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Allerdings kann es ja sein, dass das irgendwie codiert eingefügt wurde, deswegen bin ich nicht sicher, wie viel das wirklich aussagt, wenn Du damit nichts findest. Falls Du einen anderen DB-Prefix verwendest, muss der natürlich angepasst werden in der Query. Obiges Beispiel sucht nach allen Beiträgen, die "_wp_footer" enthalten.

    Fällt hier vielleicht sonst noch jemandem was ein? Mein Blog wurde ja zum Glück noch nie gehackt, also habe ich da keine praktischen Erfahrunsgwerte anzubieten. Vielleicht fällt mir hier ja auch was ganz naheliegendes nicht ein. ;)
     
  9. Pankowia

    Pankowia Active Member

    Registriert seit:
    2. November 2006
    Beiträge:
    30
    Zustimmungen:
    0
    Und nochmal danke

    Vielen Dank. Ich werde deine Query anpassen und es damit mal versuchen.
    Danke!!!

    Bei den Verweisseiten meinte ich eigene Domains, die auf den Blog verweisen.

    Ich habe "mein" Problem hier noch beschrieben gefunden. Bei allen gehackten Blogs konnten die Betroffenen es am Blog oder im Adminbereich ja merken. Merkwürdiger Weise findet Lycos den Dreck bei der Eingabe meines Namens nicht...

    Leider muss ich heute Abend was anderes machen, dabei lässt mir das Problem keine Ruhe!
     
  10. Pankowia

    Pankowia Active Member

    Registriert seit:
    2. November 2006
    Beiträge:
    30
    Zustimmungen:
    0
    Keine Verbesserung...

    Hi ihr alle,
    ich brauche eure Hilfe weiterhin.
    Antivirus habe ich durchlaufen lassen, zeigte beim alten Template (ich habe es kurzzeitig zur Prüfung noch mal aktiviert) nichts an, beim neuen moniert er eine Zeile


    ... _filter('wp_widget_recent_comments_style', create_function($a, 'return null;'));


    Die Suche in der Datenbank nach den Worten bzw. Wortverbindungen hat null Ergebnisse gebracht.


    Alle Benutzer außer mir sind gelöscht.
    Speichere ich als Textdatei ab, habe ich auch keinen SPAM drin.



    Aber GOOGLE sieht ihn. Wirklich zum Verzeifeln!!!
    Einzige Veränderung, der Spam enthält keine LINKS mehr, sondern ist bei Google nur Text.


    Im Anhang findet ihr einen Schnappschuss von heute.



    Mir fällt nichts mehr ein. *Verzweifelt in die Runde gucke*








     
  11. Ammaletu

    Ammaletu Well-Known Member
    Ehrenmitglied

    Registriert seit:
    14. Juli 2007
    Beiträge:
    4.694
    Zustimmungen:
    0
    Also gut, eine letzte Idee habe ich noch: Hast Du das XML-Sitemap-Plugin installiert und bei Google die XML-Sitemap eingetragen? Schau doch mal in die XML-Datei, was da drinsteht. Vielleicht zieht Google das ja da heraus.

    Ich habe ansonsten auch den User-Agent-Switcher mal installiert, JavaScript ausgestellt etc. und sehe den Spam nicht. Das Script versteckt sich entweder sehr clever oder wir sind irgendwie völlig auf dem Holzweg. Maxe, hast Du vielleicht noch eine Idee?
     
  12. maxe

    maxe WPDE-Team
    Mitarbeiter

    Registriert seit:
    1. Mai 2008
    Beiträge:
    19.181
    Zustimmungen:
    180
    Mein erster Gedanke war der RSS-Feed, hatte ich dann aber wieder verworfen.
    Vielleicht gewährt uns Pankowia mal Einblick in den Code des alten Themes (zip-File).
     
  13. Pankowia

    Pankowia Active Member

    Registriert seit:
    2. November 2006
    Beiträge:
    30
    Zustimmungen:
    0
    Ratlos...

    Vielen Dank fürs Weiterdenken...
    Das Zip-chen hänge ich an.
    Das genannte Plugin habe ich nie benutzt.

    Genau diese Medikamenten-Werbungsabfolge gibt es auch nur bei meinem Blog - habe das mal gegoogelt mit den ersten drei oder so. Die einzige weitere Meldung kommt von einem Pfennigaktienhändlerblog, der sich auf meinen Blog bezieht.
    Grüße Pankowia

    Ihr könnt jeden Einblick haben :).
     
  14. maxe

    maxe WPDE-Team
    Mitarbeiter

    Registriert seit:
    1. Mai 2008
    Beiträge:
    19.181
    Zustimmungen:
    180
    hmm, kann das vielleicht am Contaxe-Script liegen? Bzw. an den anderen Scripten (amazon, zanox, counter ...) die du da eingebaut hast?

    Und das Theme hatte auch schon einiges auf dem Buckel, oder? Perun hatte zwischenzeitlich sogar mal eine Aktualisierung rausgebracht, die du wohl verschlafen hattest ;)

    Noch mal zum Verständnis ... die Werbung trat nur mit altem Theme auf, das neue macht (noch) keine Probleme, oder? Hast du da denn auch schon sämtliche Scripte eingebunden?
     
  15. Pankowia

    Pankowia Active Member

    Registriert seit:
    2. November 2006
    Beiträge:
    30
    Zustimmungen:
    0
    Buckel...

    Die Probleme sind geblieben und ich glaube, dass es nicht am Theme liegt. Ich hatte einen einzigen Tag noch ein anderes drauf, bei Google war auch das mit den Spams zu finden.

    In das neue Theme habe ich bisher nur ein identisches Script eingebunden - Amazon.

    Contaxe hate ich bei alten Theme eingebunden, beim neuen Theme noch nicht, habe ein Plugin von C. installiert, aber noch nicht konfigurert.

    Ja, das Theme war schon alt, machte aber keine Probleme und deshalb...

    counter habe ich gewechselt... der alte war auf dem neuen noch nicht drauf...

    ...die Spams treten auch bei dem neuen Theme auf.
    Geh mal auf den Google-Cache von www.bfcd.de und schau dir die das an.
    (Schnappschuss wird mitgeliefert)
    Da sieht man sie und der einzige Unterschied besteht darin, dass sie keine LINKS mehr sind.
    Vielen Dank für das Draufgucken, ich weiß, dass es Zeit kostet.
     
  16. fpr

    fpr Well-Known Member

    Registriert seit:
    12. Juni 2009
    Beiträge:
    86
    Zustimmungen:
    0
    Um welche Seite geht es denn genau? Ich vermute es ist www.dynamoberlin2002.de ?

    Im Google-Cache ist ja im Moment keine Seite drin, die schon das neue Theme nutzt - wenn ich mit einer Google-IP (http://www.google.de/gwt/n), Google-Bot als UA und deaktiviertem JS die Seite besuche, sehe ich keine Spam-Links. Ich schätze also, dass das alte Theme gehackt war.

    Ist das in red-train-1_0.zip alles, was zum Theme gehört, fehlt da nicht zum Beispiel ne single.php?
     
  17. Pankowia

    Pankowia Active Member

    Registriert seit:
    2. November 2006
    Beiträge:
    30
    Zustimmungen:
    0
    Alles drin...

    In der Zip-datei ist alles drin.
    Meines Erachtens (so denke ich inzwischen) kann es am Template nicht liegen. Habe ja erst mit dem Brandford bissel rumgebastelt, jetzt mich aber für das Yaml-basierte entschieden...
    Der Spam erscheint immer direkt unter dem neuesten Beitrag.
    Als "schriebe" ein Script da etwas herein. Ich kann aber in den Beiträgen nichts finden, im Quelltext sieht man auch nichts. Nur Google findet den Müll im Cache.
    www.bfcd.de
    www.bfcdynamo.com
    www.pc66.de

    ...lenken zur Seite um.
    Wenn jemand nach dem Namen der im Impressum stehenden Person sucht, wird er bei Google schnell fündig. Und findet in der Nur-Text-Version des Caches auch diese dämlichen Einträge.
    Heute habe ich - wie Schweinchen ins Uhrwerk guckend - auch noch mal die Datenbank durchforstet.
    Immer schön einzeln nachgeschlagen, was was ist oder bedeutet. Ich finde nichts Ungewöhnliches. Und es scheint ja fast so, als sei ich die einzige Betroffene mit dem FEHLER; WURM, VIRUS oder was auch immer das ist...
     
  18. fpr

    fpr Well-Known Member

    Registriert seit:
    12. Juni 2009
    Beiträge:
    86
    Zustimmungen:
    0
    Warte erstmal, bis Google einen Beitrag vom Blog mit dem Yaml-Theme im Cache hat - ich denke, da wird alles sauber sein ...

     
  19. Pankowia

    Pankowia Active Member

    Registriert seit:
    2. November 2006
    Beiträge:
    30
    Zustimmungen:
    0
    Leider nein...

    Benutze mal die Blogsuche.. Soduko für Paul - und suchegenau dieses - und siehe da, der Beitrag beginnt bei Google mit dem Spam. "Geschrieben" habe ich ihn erst in das neue Theme.

    *immer noch verzweifelt gucke*

    Danke fürs Mithelfen!

    Noch ein Schnappschuss - jedenfalls scheine ich mein Thema gefunden zu haben: "Zol... ..." Bei mir fängt jeder Beitrag gleich an.
     
    #19 Pankowia, 8. Oktober 2009
    Zuletzt bearbeitet: 8. Oktober 2009
  20. fpr

    fpr Well-Known Member

    Registriert seit:
    12. Juni 2009
    Beiträge:
    86
    Zustimmungen:
    0
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden