Support » Allgemeine Fragen » Phishing-Verdacht
Phishing-Verdacht
-
Hallo zusammen,
ich habe ein Problem mit meiner Website. Seit gut einer Woche wird diese als Phishing Website eingestuft. Zu meiner Website, es ist eine Landingpage mit der ich Leute in meinen Fitness Newsletter hole.
Meine Frage ist jetzt, wie kann ich dagegen vorgehen?LG
FelixDie Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]
-
Zunächst einmal ist irreführend, dass bei Aufruf der Website nur ein Suchformular angezeigt wird, aber keine Inhalte. Es könnte sein, dass irgendein Google-Algorithmus das bereits als Phishing interpretiert. Ansonsten weiß ich natürlich nicht, ob vielleicht parallel zu WordPress Malware eingesetzt wurde, die ein typisches Phishing-Formular zur Eingabe von Zugangsdaten ausgibt.
Wenn du deine Website ausgiebig geprüft hast, kannst du den Vorschlägen folgen die im Warnhinweis von Google unter Weitere Informationen > Meine Website oder Software ist als gefährlich gekennzeichnet angezeigt werden.
Also ich habe alle Seitenfenster erstmal offline geschaltet. Deshalb sieht man dazu auch nichts.
Du hattest mir ja schonmal Health Check & Troubleshooting empfohlen, jedoch weiß ich nicht, wie ich dieses Plugin benutzen soll.Malware wurde nicht eingesetzt. Ich werde jetzt nochmal die Seiten online schalten und dann kannst du es nochmal probieren.
LG
FelixDu hattest mir ja schonmal Health Check & Troubleshooting empfohlen, jedoch weiß ich nicht, wie ich dieses Plugin benutzen soll.
Auf unserer Webseite Health Check gibt es ein paar zusätzliche Informationen. Ansonsten: Plugin installieren, aktivieren, auf Dashboard > Health Check gehen, Tab Debugging, dort die Informationen kopieren, dann hier einfügen – so erfahren wir zumindest etwas mehr über deine Website.
Malware wurde nicht eingesetzt.
Malware setzt du auch kaum freiwillig ein. Sie wird gerne von Hackern in angeblichen „Systemdateien“ auf deinem Webserver versteckt, damit Angreifer Zugriff auf deinen Server erhalten und dort z.B. ein Phishing-Formular platzieren können.
Laut Sucuri Online Site Check steht deine Website aktuell auf 9 Blacklists. Irgendeinen Grund wird es dafür geben.
Im Zweifelsfall solltest du den Support deines Webhoster ansprechen, damit der Webserver so zurückgesetzt wird, dass du die Domain aus den schwarzen Listen entfernen lassen kannst. Danach kannst du ein unkompromittiertes Backup wiederherstellen.
Also das sind jetzt mal meine Health Check Ergebnisse.
### WordPress ### Version: 4.9.8 Sprache: de_DE Permalink-Struktur: /%year%/%monthnum%/%day%/%postname%/ Verwendet diese Website HTTPS?: Nein Kann sich jeder auf dieser Website registrieren?: Nein Standard-Kommentarstatus: open Ist dies ein Netzwerk?: Nein Benutzeranzahl: 1 Kommunikation mit WordPress.org: WordPress.org ist erreichbar Erzeuge Loopback Requests: Der Loopback Request für deine Website wurde erfolgreich abgeschlossen. ### Größe der Installation ### Uploads-Verzeichnis: 52,32 MB Theme-Verzeichnis: 3,09 MB Plugin-Verzeichnis: 58,36 MB Datenbank-Größe: 11,08 MB Gesamtes WordPress-Verzeichnis: 141,97 MB Gesamtgröße der Installation: 153,04 MB ### Aktives Theme ### Name: Twenty Fifteen Version: 2.0 Autor: dem WordPress-Team Website des Autors: https://de.wordpress.org/ Parent Theme: Kein Child Theme Unterstützte Theme-Funktionalität: automatic-feed-links, title-tag, post-thumbnails, menus, html5, post-formats, custom-logo, custom-background, editor-style, customize-selective-refresh-widgets, custom-header, widgets ### Andere Themes (2) ### Twenty Seventeen (twentyseventeen): Version 1.7 von dem WordPress-Team Twenty Sixteen (twentysixteen): Version 1.5 von dem WordPress-Team ### Aktive Plugins (7) ### 2FAS — Two Factor Authentication: Version 2.2.0 von Two Factor Authentication Service Inc. Anti-Spam by CleanTalk: Version 5.101 von СleanTalk <welcome@cleantalk.org> Health Check & Troubleshooting: Version 1.2.1 von The WordPress.org community Loginizer: Version 1.4.0 von Raj Kothari MetaSlider: Version 3.8.1 von Team Updraft OptimizePress: Version 2.5.16 von OptimizePress Sucuri Security - Auditing, Malware Scanner and Hardening: Version 1.8.18 von Sucuri Inc. ### Medienhandling ### Aktiver Editor: WP_Image_Editor_Imagick Imagick Modul Version: 1684 ImageMagick-Version: ImageMagick 6.9.4-10 Q16 x86_64 2017-11-14 http://www.imagemagick.org Imagick-Resource-Limits: area: 503 GB disk: -1 file: 12288 map: 503 GB memory: 252 GB thread: 1 GD-Version: bundled (2.1.0 compatible) Ghostscript-Version: 8.70 ### Server ### Server-Architektur: Linux 2.6.32-896.16.1.lve1.4.54.el6.x86_64 x86_64 PHP-Version: 5.6.37 (Unterstützt 64bit-Werte) PHP SAPI: litespeed PHP max input variables: 1000 PHP time limit: 30 PHP memory limit: 256M Max input time: -1 Maximale Dateigröße Upload: 128M PHP post max size: 128M cURL-Version: 7.60.0 OpenSSL/1.0.2k SUHOSIN installiert: Ja Ist die Imagick-Library verfügbar: Ja htaccess Regeln: Deine htaccess-Datei enthält nur WordPress-Funktionen ### Datenbank ### Erweiterung: mysqli Server-Version: 10.1.31-MariaDB-cll-lve Client-Version: 10.1.34-MariaDB Datenbankpräfix: wpdw_ ### WordPress-Konstanten ### ABSPATH: /home/clevuzpg/public_html/ WP_HOME: Nicht definiert WP_SITEURL: Nicht definiert WP_DEBUG: Deaktiviert WP_MAX_MEMORY_LIMIT: 256M WP_DEBUG_DISPLAY: Aktiviert WP_DEBUG_LOG: Deaktiviert SCRIPT_DEBUG: Deaktiviert WP_CACHE: Deaktiviert CONCATENATE_SCRIPTS: Nicht definiert COMPRESS_SCRIPTS: Nicht definiert COMPRESS_CSS: Nicht definiert WP_LOCAL_DEV: Nicht definiert ### Dateisystem-Rechte ### Das Haupt-WordPress-Verzeichnis: Schreibbar Das Verzeichnis wp-content: Schreibbar Das Uploads-Verzeichnis: Schreibbar Das Plugin-Verzeichnis: Schreibbar Das Theme-Verzeichnis: Schreibbar
Das sieht soweit alles ziemlich normal aus.
Also an https bin ich dran. Habe das mit meinem Hoster auch schon besprochen. Leider kann ich es erst umstellen, wenn die Seite wieder normal ist.
Weißt du eventuell woran es noch liegen könnte?
Ich habe mich jetzt nochmal mit meinem Webhoster auseinandergesetzt. Mal sehen was dabei herauskommt.
Ich habe nochmal eine weitere Frage. Wie kann ich mein WordPress Login ändern. Momentan logge ich mich noch unter meinerdomain/wp-admin ein. Wie kann man das ändern?
Momentan logge ich mich noch unter meinerdomain/wp-admin ein.
Das ist vermutlich nicht korrekt. Wenn du keine Plugins installiert hast, wirst du bei Aufruf vonwp-admin
zum Anmeldeformularwp-login.php
weitergeleitet, wenn du nicht bereits angemeldet bist.wp-admin
ist aber nicht die Anmeldeseite.Wenn du dieses Formular auf eine andere URL verschieben möchtest, kannst du z.B. das Plugin Rename wp-login.php oder ein Sicherheits-Plugin wie SecuPress nutzen. Das ist allerdings nur „Security through obscurity“ und hält nur einfache, automatisierte Angriffe ab.
Also ich habe jetzt die Antwort von google bekommen. Google sagt, dass immer noch Seiten auf https://www.cleverfitness24.com/ vorhanden sind, die Besucher zu Malware oder Dateidownloads für Malware oder unerwünschte Software weiterleiten.
Weißt du, wie man herausfinden kann, welche Seiten damit gemeint sind, eher gesagt welche es sind.
Ich biete zwei PDF-Downloads an. Könnte mir nur da vorstellen, dass das problematisch ist.Das hatte ich doch schon beschrieben:
Im Zweifelsfall solltest du den Support deines Webhoster ansprechen, damit der Webserver so zurückgesetzt wird, dass du die Domain aus den schwarzen Listen entfernen lassen kannst. Danach kannst du ein unkompromittiertes Backup wiederherstellen.
Du kannst natürlich viel Zeit mit der Suche nach Backdoors verbringen, aber es ist vermutlich effizienter den Server neu aufzusetzen.
Wie du WordPress nach einem Angriff bereinigst, habe ich hier beschrieben:
https://pixolin.de/arbeitsschritte-reparatur-gehackte-website/
Also es jetzt ein bisschen Zeit vergangen. Habe ein altes Backup auf den gelöschten Server geladen. Jedoch ist meine Seite durch die Google Überprüfung wieder durchgefallen. Weißt du vielleicht noch etwas, was ich machen könnte?
Was ist denn alles auf deinem Webspace? Vielleicht ist das Backup schon betroffen?
Das Health Check Tool bietet einen Integrity Check an, damit kann man die WP-Dateien auf Veränderungen prüfen. Der wp-content-Ordner muss aber manuell geprüft werden. Themes+Plugins ggf. löschen und mit frischen Downloads ersetzen. Das gleiche machst du, wenn der Integrity-Check was meldet (aber vorher genau schauen, manchmal ist eine Abweichung korrekt.)Wenn noch andere Verzeichnisse auf dem Webspace sind. Alle akribisch durchschauen. Manuell.
Manchmal hilft ein Download (ohnhin sinnvoll) und ein anschließender Scan mit einem Virenscanner über den Download-Ordner, um den Übeltäter zu finden. Das Problem ist halt: Eine Backdoor übersehen und alles kommt wieder. Also ggf. auch checken, ob das wirklich noch online sein muss.
Viel Erfolg!
Gruß, Torsten
- Das Thema „Phishing-Verdacht“ ist für neue Antworten geschlossen.