1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

"Tramadol" - Sites gehackt?

Dieses Thema im Forum "Allgemeines" wurde erstellt von Friedolin, 19. Oktober 2011.

  1. Friedolin

    Friedolin Well-Known Member

    Registriert seit:
    6. August 2010
    Beiträge:
    57
    Zustimmungen:
    0
    Hi,

    seit einiger Zeit zeigen meine Blogs (Multisite-Installation) in den Webmastertools "Tramadol" als Haupt-KW an, und die Bilder der Startseiten in den WMT zeigen seltsame Schrifteinträge, die ich noch nie gesehen habe - im angehängten Bild z.B. von Rechner-Photovoltaik.de.
    Auf den aufgerufenen Seiten sehe ich nichts, im Header sehe ich nichts, das Plugin AntiVirus von Sergej Müller zeigt nichts - und doch ist da etwas. Nur was??
    Hier im Forum habe ich nur einen Eintrag von 2007 gefunden, der Tramadol erwähnt, aber auch nichts Genaues findet.
    Nur: Wenn die WMT so deutlich etwas anzeigen - dann wird da wohl auch etwas sein.

    Weiß jemand Rat?
     
  2. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.317
    Zustimmungen:
    582
    Hallo,

    vermutlich sind die Links, Texte versteckt im Quelltext, die dein Browser dir nicht zeigt... aber Google halt...

    Dein genanntes Pluign kann dir evtl. bei Viren helfen - allerdings vermute ich, dass dein Blog verändert wurde. (z.b. in den PHP Dateien oder in der Datenbank)

    Z.b. mit SQL-Injection
    http://de.wikipedia.org/wiki/SQL-Injection

    Wenn du einen Link zu dein WP zeigst, können wir hier sicherlich für dich weiter raten.

    oder du suchst dir einen dienstleister über das job - forum hier


    Viel Glück

    ralf
     
  3. Friedolin

    Friedolin Well-Known Member

    Registriert seit:
    6. August 2010
    Beiträge:
    57
    Zustimmungen:
    0
    Hallo ralf,

    ja, das ist kein Spaß. Im Quelltest sehe ich auch nichts. Betroffen sind alle meine Blogs aus der Installation, aber da es bei denen ja überall dasselbe ist, reicht es vielleicht, zwei zu nennen:
    http://www.rechner-photovoltaik.de,
    http://www.fenster-preise.net.
    Ich würde gern erstmal versuchen, das mit der Hausapotheke in den Griff zu bekommen, bevor ich zum kostenpflichtigen Arzt gehe ... wäre deshalb auch wirklich dankbar für jeden hilfreichen Hinweis.
     
    #3 Friedolin, 20. Oktober 2011
    Zuletzt bearbeitet: 20. Oktober 2011
  4. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.317
    Zustimmungen:
    582
    Du hast einen recht umfangreichen QWuelltext, der auf den ersten Blick sauber erscheint. ABER SICHER NICHT IST.

    Hier, die Begründung, warum.

    die Suche nach
    Tramadol http://www.rechner-photovoltaik.de/

    liefert:
    Anlage Bild

    daneben kann man sich ein Bild von deiner Seite ansehen und du erkennst, die Änderungen.

    Hier die Seite im Google cache
    http://webcache.googleusercontent.com/search?q=cache:cWPrX0edxMYJ:www.rechner-photovoltaik.de/+Tramadol+http://www.rechner-photovoltaik.de/&cd=1&hl=de&ct=clnk&gl=de&client=firefox-a


    Der cache ist aktuelle vom 19.10.

    nach
    HTML:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    kommt die Veränderung:

    Soweit meine kostenlose hilfe.

    Viel Glück

    ralf
     
  5. Friedolin

    Friedolin Well-Known Member

    Registriert seit:
    6. August 2010
    Beiträge:
    57
    Zustimmungen:
    0
    Das sieht in der Tat nicht gut aus ...
    Bietest du auch kostenpflichtige Hilfe an? Eine kurze PN würde mich freuen.
     
  6. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.317
    Zustimmungen:
    582
    ja - klar. du bekommst gleich eine pn mit meinen kontakt-daten
     
  7. Friedolin

    Friedolin Well-Known Member

    Registriert seit:
    6. August 2010
    Beiträge:
    57
    Zustimmungen:
    0
    So - inzwischen gab es eine große Virenputzaktion mit Besen und Putzeimer. Das war gut! :D
    Vielen Dank, r23, ich kann euch nur weiterempfehlen - was ich hiermit besten Gewissens tue.
     
  8. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    7.317
    Zustimmungen:
    582
    Danke für den Auftrag!

    Das Blog wurde unsichtbar für den Blogger für Google - Spam missbraucht. Der Angreifer hatte zwar Malware auf dem Server verteilt - aber er wollte nur mit Backlinks bei Google bekannter werden.

    Hierfür hat der Angreifer den Hooks get_header entsprechend erweitert. Das Ergebnis seiner Erweiterung war nur für den Googlebot sichtbar. Der normale Blogger merkt keine Veränderung an seinem System.

    Ich empfehle JEDEM Blogger eben seinen Blog aus Google"sicht" einmal zu pürfen.

    Mit dem Firefox Pluign kann man sich als Googlebot 2.1 ausgeben.
    http://chrispederick.com/work/user-agent-switcher/

    cu

    ralf
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden