Seltsame Backlinks mit Risiko?

Conrad · 27. Januar 2015

Hallo,
seit ein paar Tagen erhalte ich eine Unmenge seltsamer Backlinks von mir völlig unbekannten Seiten. Ein paar Beispiele mit seltsamen Ankern auf meiner Seite:

same day online personal loans
ulrich-conrad.de/cgi-bin/eec.php?same-day-online-personal-loans.html

loans for bad credit instant decision no brokers
ulrich-conrad.de/cgi-bin/eec.php?loans-for-bad-credit-instant-decision-no-brokers.html

ulrich-conrad.de/cgi-bin/eec.php?fresh-start-loans-for-bad-credit.htm

etc.

Vielleicht könnte die Backlinkflut auch mit massiven Angriffen auf meine Seite in den vergangenen Tagen zu tun haben.?

Woher kommen die Backlinks? Sind sie problematisch? Wenn ja, was kann ich dagegen tun ausser Google disavow zu verwenden?

Ich würde mich sehr über Hilfe und aufschlussreiche Tipps freuen.
Danke im voraus.

Gruß
Conrad

Herr Schmidt · 27. Januar 2015

Das hört sich nach einem Hack an bei dem ein Casino, Kredit oder Pharma Shop installiert wurde und nun versucht man diesen zum Laufen zu bekommen. Bei den Links wohl eher Kredit. Es scheint auf jeden Fall als wäre der Angriff auf deine Seite erfolgreich gewesen. Näheres lässt sich aber ohne URL kaum sagen.

Conrad · 28. Januar 2015

Hallo Herr Schmidt,
danke für die Antwort.
Habe natürlich daraufhin nochmal alle Malwarescanner laufen lassen - ohne negatives Ergebnis, alles clean. Ausserdem das installierte Sucuri nach fremden Logins etc. durchsucht. Nix zu finden.

Kann es denn trotzdem sein, dass sich da ein Hacker Zugang verschafft hat?
Was sind das für komische cgi-bin im Link?
Was kann ich selbst noch machen?

Danke im voraus für Ihre Tipps.

Gruß
Conrad

Herr Schmidt · 28. Januar 2015

Der Angriff muss nicht zwangsläufig auf die Wordpress Installation gemacht worden sein sondern eventuell auch auf den Server/das OS direkt.

Ich würde auf jeden Fall mal die Logs checken welche Zugriffe es auf den Server gibt und nach veränderten Datein auch auf Serverebene suchen (lassen).

himitsu · 28. Januar 2015

Zitat von Conrad: ↑

Was sind das für komische cgi-bin im Link?
Was kann ich selbst noch machen?
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Hast du selber CGI's installiert?
Wenn nicht, dann einfach alles im Verzeichnichs cgi-bin löschen. (im Notfall hat man natürlich noch ein Backup )

Und natürlich auch mal mit deinem Hoster sprechen.

Hast du mal einen der Links aufgerufen?
http://ulrich-conrad.de/cgi-bin/eec.php
Ich gehört dieses wirklich auf deine Seite? Wenn nicht, dann sollte es dringend entfernt werden.

Conrad · 28. Januar 2015

Vielen Dank für die Tipps.

Habe jetzt:
a) das cgi gelöscht (wurde nicht von mir erstellt)
b) den Hoster informiert und um Info gebeten
c) das Logfile erstellt.
Und dort schon seltsames entdeckt von unbekannten ips:
"POST /wp-cron.php?674eeb294cdc6dc14a0b130335b8c981&action=wysija_cron&process=queue,bounce&silent=1 HTTP/1.0"
"POST /wp-cron.php?doing_wp_cron=1421795463.1418418884277343750000 HTTP/1.0"
"POST /wp-cron.php?674eeb294cdc6dc14a0b130335b8c981&action=wysija_cron&process=bounce&silent=1 HTTP/1.0"
etc. etc.

Was hat das zu bedeuten?
Was kann ich jetzt noch tun?
Bringt eine Änderung von Passwort bzw. Login etwas?

Danke für die Hilfe!!

Gruß
Conrad

Herr Schmidt · 28. Januar 2015

JA! Auf jeden Fall ALLE Passwörter ändern (auch zum Login Bereich des Hosters) und auch mal auf dem Rechner zu Hause einen Virenscan laufen lassen.

Und im Log weiter beobachten, was passiert.

WPDE.org

Seltsame Backlinks mit Risiko?

Conrad Well-Known Member

Herr Schmidt Well-Known Member

Conrad Well-Known Member

Herr Schmidt Well-Known Member

himitsu Well-Known Member

Conrad Well-Known Member

Herr Schmidt Well-Known Member

Nützliche Suchen

Seltsame Backlinks mit Risiko?

Conrad Well-Known Member

Herr Schmidt Well-Known Member

Conrad Well-Known Member

Herr Schmidt Well-Known Member

himitsu Well-Known Member

Conrad Well-Known Member

Herr Schmidt Well-Known Member