1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Malware und ReDirect-Problem

Dieses Thema im Forum "Konfiguration" wurde erstellt von GZeitung, 14. April 2024.

  1. GZeitung

    GZeitung Member

    Registriert seit:
    11. Dezember 2019
    Beiträge:
    7
    Zustimmungen:
    0
    Hallo ihr Lieben,

    unsere Gutschein-Zeitung.de gehört leider zu den Seiten, die unlängst von dem tagDiv Composer (Newspaper Theme) Malware-Angriff betroffen waren.

    Obgleich wir das schnell bemerkt und wie wir glaubten auch behoben haben, zeigt Google in der Search Console sehr viele Fehler an. Besonders kritisch ist dabei die Meldung "Seite mit Weiterleitung".

    Wir haben das Theme neu aufgesetzt, alle Plugins sind auf dem neusten Stand und auch sonst.. ergo, wir haben keine Ahnung, warum Google das findet. Zumal die Anzahl stark steigt. Da ist der Wurm drin.

    Ich füge mal einen entsprechenden Screenshot hinzu. Hat jemand eine Ahnung, wo wir suchen müssen?

    Danke und LG

    Boris

    [​IMG]
     
  2. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.420
    Zustimmungen:
    604
    Die Weiterleitung kann auf verschiedene Weise erfolgen, und hier sind einige der häufigsten Methoden, die Hacker verwenden:

    • Javascript-Injektionen in PHP-Dateien, insbesondere in die functions.php des Themes.
    • Veränderte JavaScript-Dateien, die schädlichen Code enthalten.
    • Änderungen an der site-url oder home-url in der Datenbank.
    • Script-Injektionen direkt in Seiten, Beiträge oder Widgets in der Datenbank.
    • Verwendung der @include-Direktive, um eine schadhaft veränderte favicon.ico-Datei in index.php oder wp-config.php einzubinden.
    • Eingeschleuste oder modifizierte Plugins.
    • Modifizierte .htaccess-Dateien, die Weiterleitungsregeln enthalten.
    • Eingebundene Werbenetzwerke oder gehackte Adserver.

    Oft war / wird gerne die base64_decode Methode in der Datenbank verwendet.

    Du könntest die Dateien auf deinen Rechner holen und einen Virenscanner drüber laufen lassen...
     
  3. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    12.180
    Zustimmungen:
    1.886
    Der ehemals vom Befall genutzte URL Teil /out?... wird von WordPress derzeit zu einem Beitrag weitergeleitet, wo der Teil am Beginn des Namen/Slugs vorkommt. Du kannst den Effekt z.B. auch mit /wunder?... uä. sehen.

    Die URL Weiterleitungen des Hacks sind ggf. noch von extern verlinkt oder im Google Cache vorhanden. Du kannst den Pfad /out über einem Mechanismus Deiner Wahl mit HTTP Status 404 oder 410 beantworten, statt WordPress die aktuelle Weiterleitung zu überlassen, dann wird die Search Console die Links des Hacks mit der Zeit oder auch auf Anforderung vergessen/ausblenden.
     
    threadi gefällt das.
  4. GZeitung

    GZeitung Member

    Registriert seit:
    11. Dezember 2019
    Beiträge:
    7
    Zustimmungen:
    0
    Hallo und vielen Dank für deine Einschätzung. Das würde ja bedeuten, dass kein aktueller Handlungsbedarf besteht. Aussitzen wäre somit eine Lösung, da Google die Weiterleitungen früher oder später ad acta legen wird. Ist das so korrekt?
     
  5. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    12.180
    Zustimmungen:
    1.886
    Wenn Du den Pfad /out über einem Mechanismus Deiner Wahl mit HTTP Status 404 oder 410 beantwortest, wird Google die Weiterleitungen früher oder später ad acta legen.
     
  6. GZeitung

    GZeitung Member

    Registriert seit:
    11. Dezember 2019
    Beiträge:
    7
    Zustimmungen:
    0
    Verstanden. Dann möchte ich mich hiermit herzlichst für Deine Unterstützung bedanken. Tolle Sache!
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden