Phishing-Verdacht

ddaerfefe
(@ddaerfefe)

vor 5 Jahren, 8 Monaten

Hallo zusammen,

ich habe ein Problem mit meiner Website. Seit gut einer Woche wird diese als Phishing Website eingestuft. Zu meiner Website, es ist eine Landingpage mit der ich Leute in meinen Fitness Newsletter hole.
Meine Frage ist jetzt, wie kann ich dagegen vorgehen?

LG
Felix

Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 12 Antworten - 1 bis 12 (von insgesamt 12)

Moderator Bego Mario Garde
(@pixolin)

vor 5 Jahren, 8 Monaten

Zunächst einmal ist irreführend, dass bei Aufruf der Website nur ein Suchformular angezeigt wird, aber keine Inhalte. Es könnte sein, dass irgendein Google-Algorithmus das bereits als Phishing interpretiert. Ansonsten weiß ich natürlich nicht, ob vielleicht parallel zu WordPress Malware eingesetzt wurde, die ein typisches Phishing-Formular zur Eingabe von Zugangsdaten ausgibt.

Wenn du deine Website ausgiebig geprüft hast, kannst du den Vorschlägen folgen die im Warnhinweis von Google unter Weitere Informationen > Meine Website oder Software ist als gefährlich gekennzeichnet angezeigt werden.

Thread-Starter ddaerfefe
(@ddaerfefe)

vor 5 Jahren, 8 Monaten

Also ich habe alle Seitenfenster erstmal offline geschaltet. Deshalb sieht man dazu auch nichts.
Du hattest mir ja schonmal Health Check & Troubleshooting empfohlen, jedoch weiß ich nicht, wie ich dieses Plugin benutzen soll.

Malware wurde nicht eingesetzt. Ich werde jetzt nochmal die Seiten online schalten und dann kannst du es nochmal probieren.

LG
Felix

Moderator Bego Mario Garde
(@pixolin)

vor 5 Jahren, 8 Monaten

Du hattest mir ja schonmal Health Check & Troubleshooting empfohlen, jedoch weiß ich nicht, wie ich dieses Plugin benutzen soll.

Auf unserer Webseite Health Check gibt es ein paar zusätzliche Informationen. Ansonsten: Plugin installieren, aktivieren, auf Dashboard > Health Check gehen, Tab Debugging, dort die Informationen kopieren, dann hier einfügen – so erfahren wir zumindest etwas mehr über deine Website.

Malware wurde nicht eingesetzt.

Malware setzt du auch kaum freiwillig ein. Sie wird gerne von Hackern in angeblichen „Systemdateien“ auf deinem Webserver versteckt, damit Angreifer Zugriff auf deinen Server erhalten und dort z.B. ein Phishing-Formular platzieren können.

Laut Sucuri Online Site Check steht deine Website aktuell auf 9 Blacklists. Irgendeinen Grund wird es dafür geben.

Im Zweifelsfall solltest du den Support deines Webhoster ansprechen, damit der Webserver so zurückgesetzt wird, dass du die Domain aus den schwarzen Listen entfernen lassen kannst. Danach kannst du ein unkompromittiertes Backup wiederherstellen.
Thread-Starter ddaerfefe
(@ddaerfefe)

vor 5 Jahren, 8 Monaten
Also das sind jetzt mal meine Health Check Ergebnisse.
```
				### WordPress ###

Version: 4.9.8
Sprache: de_DE
Permalink-Struktur: /%year%/%monthnum%/%day%/%postname%/
Verwendet diese Website HTTPS?: Nein
Kann sich jeder auf dieser Website registrieren?: Nein
Standard-Kommentarstatus: open
Ist dies ein Netzwerk?: Nein
Benutzeranzahl: 1
Kommunikation mit WordPress.org: WordPress.org ist erreichbar
Erzeuge Loopback Requests: Der Loopback Request für deine Website wurde erfolgreich abgeschlossen.

### Größe der Installation ###

Uploads-Verzeichnis: 52,32 MB
Theme-Verzeichnis: 3,09 MB
Plugin-Verzeichnis: 58,36 MB
Datenbank-Größe: 11,08 MB
Gesamtes WordPress-Verzeichnis: 141,97 MB
Gesamtgröße der Installation: 153,04 MB

### Aktives Theme ###

Name: Twenty Fifteen
Version: 2.0
Autor: dem WordPress-Team
Website des Autors: https://de.wordpress.org/
Parent Theme: Kein Child Theme
Unterstützte Theme-Funktionalität: automatic-feed-links, title-tag, post-thumbnails, menus, html5, post-formats, custom-logo, custom-background, editor-style, customize-selective-refresh-widgets, custom-header, widgets

### Andere Themes (2) ###

Twenty Seventeen (twentyseventeen): Version 1.7 von dem WordPress-Team
Twenty Sixteen (twentysixteen): Version 1.5 von dem WordPress-Team

### Aktive Plugins (7) ###

2FAS — Two Factor Authentication: Version 2.2.0 von Two Factor Authentication Service Inc.
Anti-Spam by CleanTalk: Version 5.101 von СleanTalk <welcome@cleantalk.org>
Health Check & Troubleshooting: Version 1.2.1 von The WordPress.org community
Loginizer: Version 1.4.0 von Raj Kothari
MetaSlider: Version 3.8.1 von Team Updraft
OptimizePress: Version 2.5.16 von OptimizePress
Sucuri Security - Auditing, Malware Scanner and Hardening: Version 1.8.18 von Sucuri Inc.

### Medienhandling ###

Aktiver Editor: WP_Image_Editor_Imagick
Imagick Modul Version: 1684
ImageMagick-Version: ImageMagick 6.9.4-10 Q16 x86_64 2017-11-14 http://www.imagemagick.org
Imagick-Resource-Limits: 
	area: 503 GB
	disk: -1
	file: 12288
	map: 503 GB
	memory: 252 GB
	thread: 1
GD-Version: bundled (2.1.0 compatible)
Ghostscript-Version: 8.70

### Server ###

Server-Architektur: Linux 2.6.32-896.16.1.lve1.4.54.el6.x86_64 x86_64
PHP-Version: 5.6.37 (Unterstützt 64bit-Werte)
PHP SAPI: litespeed
PHP max input variables: 1000
PHP time limit: 30
PHP memory limit: 256M
Max input time: -1
Maximale Dateigröße Upload: 128M
PHP post max size: 128M
cURL-Version: 7.60.0 OpenSSL/1.0.2k
SUHOSIN installiert: Ja
Ist die Imagick-Library verfügbar: Ja
htaccess Regeln: Deine htaccess-Datei enthält nur WordPress-Funktionen

### Datenbank ###

Erweiterung: mysqli
Server-Version: 10.1.31-MariaDB-cll-lve
Client-Version: 10.1.34-MariaDB
Datenbankpräfix: wpdw_

### WordPress-Konstanten ###

ABSPATH: /home/clevuzpg/public_html/
WP_HOME: Nicht definiert
WP_SITEURL: Nicht definiert
WP_DEBUG: Deaktiviert
WP_MAX_MEMORY_LIMIT: 256M
WP_DEBUG_DISPLAY: Aktiviert
WP_DEBUG_LOG: Deaktiviert
SCRIPT_DEBUG: Deaktiviert
WP_CACHE: Deaktiviert
CONCATENATE_SCRIPTS: Nicht definiert
COMPRESS_SCRIPTS: Nicht definiert
COMPRESS_CSS: Nicht definiert
WP_LOCAL_DEV: Nicht definiert

### Dateisystem-Rechte ###

Das Haupt-WordPress-Verzeichnis: Schreibbar
Das Verzeichnis wp-content: Schreibbar
Das Uploads-Verzeichnis: Schreibbar
Das Plugin-Verzeichnis: Schreibbar
Das Theme-Verzeichnis: Schreibbar
```
Moderator Bego Mario Garde
(@pixolin)

vor 5 Jahren, 8 Monaten

Das sieht soweit alles ziemlich normal aus.

Thread-Starter ddaerfefe
(@ddaerfefe)

vor 5 Jahren, 8 Monaten

Also an https bin ich dran. Habe das mit meinem Hoster auch schon besprochen. Leider kann ich es erst umstellen, wenn die Seite wieder normal ist.

Weißt du eventuell woran es noch liegen könnte?

Thread-Starter ddaerfefe
(@ddaerfefe)

vor 5 Jahren, 8 Monaten

Ich habe mich jetzt nochmal mit meinem Webhoster auseinandergesetzt. Mal sehen was dabei herauskommt.

Ich habe nochmal eine weitere Frage. Wie kann ich mein WordPress Login ändern. Momentan logge ich mich noch unter meinerdomain/wp-admin ein. Wie kann man das ändern?

Moderator Bego Mario Garde
(@pixolin)

vor 5 Jahren, 8 Monaten

Momentan logge ich mich noch unter meinerdomain/wp-admin ein.
Das ist vermutlich nicht korrekt. Wenn du keine Plugins installiert hast, wirst du bei Aufruf von wp-admin zum Anmeldeformular wp-login.php weitergeleitet, wenn du nicht bereits angemeldet bist. wp-admin ist aber nicht die Anmeldeseite.

Wenn du dieses Formular auf eine andere URL verschieben möchtest, kannst du z.B. das Plugin Rename wp-login.php oder ein Sicherheits-Plugin wie SecuPress nutzen. Das ist allerdings nur „Security through obscurity“ und hält nur einfache, automatisierte Angriffe ab.

Thread-Starter ddaerfefe
(@ddaerfefe)

vor 5 Jahren, 8 Monaten

Also ich habe jetzt die Antwort von google bekommen. Google sagt, dass immer noch Seiten auf https://www.cleverfitness24.com/ vorhanden sind, die Besucher zu Malware oder Dateidownloads für Malware oder unerwünschte Software weiterleiten.
Weißt du, wie man herausfinden kann, welche Seiten damit gemeint sind, eher gesagt welche es sind.
Ich biete zwei PDF-Downloads an. Könnte mir nur da vorstellen, dass das problematisch ist.

Moderator Bego Mario Garde
(@pixolin)

vor 5 Jahren, 8 Monaten

Das hatte ich doch schon beschrieben:

Im Zweifelsfall solltest du den Support deines Webhoster ansprechen, damit der Webserver so zurückgesetzt wird, dass du die Domain aus den schwarzen Listen entfernen lassen kannst. Danach kannst du ein unkompromittiertes Backup wiederherstellen.

Du kannst natürlich viel Zeit mit der Suche nach Backdoors verbringen, aber es ist vermutlich effizienter den Server neu aufzusetzen.

Wie du WordPress nach einem Angriff bereinigst, habe ich hier beschrieben:

https://pixolin.de/arbeitsschritte-reparatur-gehackte-website/

Thread-Starter ddaerfefe
(@ddaerfefe)

vor 5 Jahren, 7 Monaten

Also es jetzt ein bisschen Zeit vergangen. Habe ein altes Backup auf den gelöschten Server geladen. Jedoch ist meine Seite durch die Google Überprüfung wieder durchgefallen. Weißt du vielleicht noch etwas, was ich machen könnte?

Moderator Torsten Landsiedel
(@zodiac1978)

vor 5 Jahren, 7 Monaten

Was ist denn alles auf deinem Webspace? Vielleicht ist das Backup schon betroffen?
Das Health Check Tool bietet einen Integrity Check an, damit kann man die WP-Dateien auf Veränderungen prüfen. Der wp-content-Ordner muss aber manuell geprüft werden. Themes+Plugins ggf. löschen und mit frischen Downloads ersetzen. Das gleiche machst du, wenn der Integrity-Check was meldet (aber vorher genau schauen, manchmal ist eine Abweichung korrekt.)

Wenn noch andere Verzeichnisse auf dem Webspace sind. Alle akribisch durchschauen. Manuell.

Manchmal hilft ein Download (ohnhin sinnvoll) und ein anschließender Scan mit einem Virenscanner über den Download-Ordner, um den Übeltäter zu finden. Das Problem ist halt: Eine Backdoor übersehen und alles kommt wieder. Also ggf. auch checken, ob das wirklich noch online sein muss.

Viel Erfolg!

Gruß, Torsten

Ansicht von 12 Antworten - 1 bis 12 (von insgesamt 12)

Das Thema „Phishing-Verdacht“ ist für neue Antworten geschlossen.

Themen-Schlagwörter

Ansichten