Support » Allgemeine Fragen » Phishing-Verdacht

  • Hallo zusammen,

    ich habe ein Problem mit meiner Website. Seit gut einer Woche wird diese als Phishing Website eingestuft. Zu meiner Website, es ist eine Landingpage mit der ich Leute in meinen Fitness Newsletter hole.
    Meine Frage ist jetzt, wie kann ich dagegen vorgehen?

    LG
    Felix

    Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]

Ansicht von 12 Antworten - 1 bis 12 (von insgesamt 12)
  • Zunächst einmal ist irreführend, dass bei Aufruf der Website nur ein Suchformular angezeigt wird, aber keine Inhalte. Es könnte sein, dass irgendein Google-Algorithmus das bereits als Phishing interpretiert. Ansonsten weiß ich natürlich nicht, ob vielleicht parallel zu WordPress Malware eingesetzt wurde, die ein typisches Phishing-Formular zur Eingabe von Zugangsdaten ausgibt.

    Wenn du deine Website ausgiebig geprüft hast, kannst du den Vorschlägen folgen die im Warnhinweis von Google unter Weitere Informationen > Meine Website oder Software ist als gefährlich gekennzeichnet angezeigt werden.

    Also ich habe alle Seitenfenster erstmal offline geschaltet. Deshalb sieht man dazu auch nichts.
    Du hattest mir ja schonmal Health Check & Troubleshooting empfohlen, jedoch weiß ich nicht, wie ich dieses Plugin benutzen soll.

    Malware wurde nicht eingesetzt. Ich werde jetzt nochmal die Seiten online schalten und dann kannst du es nochmal probieren.

    LG
    Felix

    Du hattest mir ja schonmal Health Check & Troubleshooting empfohlen, jedoch weiß ich nicht, wie ich dieses Plugin benutzen soll.

    Auf unserer Webseite Health Check gibt es ein paar zusätzliche Informationen. Ansonsten: Plugin installieren, aktivieren, auf Dashboard > Health Check gehen, Tab Debugging, dort die Informationen kopieren, dann hier einfügen – so erfahren wir zumindest etwas mehr über deine Website.

    Malware wurde nicht eingesetzt.

    Malware setzt du auch kaum freiwillig ein. Sie wird gerne von Hackern in angeblichen „Systemdateien“ auf deinem Webserver versteckt, damit Angreifer Zugriff auf deinen Server erhalten und dort z.B. ein Phishing-Formular platzieren können.

    Laut Sucuri Online Site Check steht deine Website aktuell auf 9 Blacklists. Irgendeinen Grund wird es dafür geben.

    Im Zweifelsfall solltest du den Support deines Webhoster ansprechen, damit der Webserver so zurückgesetzt wird, dass du die Domain aus den schwarzen Listen entfernen lassen kannst. Danach kannst du ein unkompromittiertes Backup wiederherstellen.

    Also das sind jetzt mal meine Health Check Ergebnisse.

    
    
    				### WordPress ###
    
    Version: 4.9.8
    Sprache: de_DE
    Permalink-Struktur: /%year%/%monthnum%/%day%/%postname%/
    Verwendet diese Website HTTPS?: Nein
    Kann sich jeder auf dieser Website registrieren?: Nein
    Standard-Kommentarstatus: open
    Ist dies ein Netzwerk?: Nein
    Benutzeranzahl: 1
    Kommunikation mit WordPress.org: WordPress.org ist erreichbar
    Erzeuge Loopback Requests: Der Loopback Request für deine Website wurde erfolgreich abgeschlossen.
    
    ### Größe der Installation ###
    
    Uploads-Verzeichnis: 52,32 MB
    Theme-Verzeichnis: 3,09 MB
    Plugin-Verzeichnis: 58,36 MB
    Datenbank-Größe: 11,08 MB
    Gesamtes WordPress-Verzeichnis: 141,97 MB
    Gesamtgröße der Installation: 153,04 MB
    
    ### Aktives Theme ###
    
    Name: Twenty Fifteen
    Version: 2.0
    Autor: dem WordPress-Team
    Website des Autors: https://de.wordpress.org/
    Parent Theme: Kein Child Theme
    Unterstützte Theme-Funktionalität: automatic-feed-links, title-tag, post-thumbnails, menus, html5, post-formats, custom-logo, custom-background, editor-style, customize-selective-refresh-widgets, custom-header, widgets
    
    ### Andere Themes (2) ###
    
    Twenty Seventeen (twentyseventeen): Version 1.7 von dem WordPress-Team
    Twenty Sixteen (twentysixteen): Version 1.5 von dem WordPress-Team
    
    ### Aktive Plugins (7) ###
    
    2FAS — Two Factor Authentication: Version 2.2.0 von Two Factor Authentication Service Inc.
    Anti-Spam by CleanTalk: Version 5.101 von СleanTalk <welcome@cleantalk.org>
    Health Check & Troubleshooting: Version 1.2.1 von The WordPress.org community
    Loginizer: Version 1.4.0 von Raj Kothari
    MetaSlider: Version 3.8.1 von Team Updraft
    OptimizePress: Version 2.5.16 von OptimizePress
    Sucuri Security - Auditing, Malware Scanner and Hardening: Version 1.8.18 von Sucuri Inc.
    
    ### Medienhandling ###
    
    Aktiver Editor: WP_Image_Editor_Imagick
    Imagick Modul Version: 1684
    ImageMagick-Version: ImageMagick 6.9.4-10 Q16 x86_64 2017-11-14 http://www.imagemagick.org
    Imagick-Resource-Limits: 
    	area: 503 GB
    	disk: -1
    	file: 12288
    	map: 503 GB
    	memory: 252 GB
    	thread: 1
    GD-Version: bundled (2.1.0 compatible)
    Ghostscript-Version: 8.70
    
    ### Server ###
    
    Server-Architektur: Linux 2.6.32-896.16.1.lve1.4.54.el6.x86_64 x86_64
    PHP-Version: 5.6.37 (Unterstützt 64bit-Werte)
    PHP SAPI: litespeed
    PHP max input variables: 1000
    PHP time limit: 30
    PHP memory limit: 256M
    Max input time: -1
    Maximale Dateigröße Upload: 128M
    PHP post max size: 128M
    cURL-Version: 7.60.0 OpenSSL/1.0.2k
    SUHOSIN installiert: Ja
    Ist die Imagick-Library verfügbar: Ja
    htaccess Regeln: Deine htaccess-Datei enthält nur WordPress-Funktionen
    
    ### Datenbank ###
    
    Erweiterung: mysqli
    Server-Version: 10.1.31-MariaDB-cll-lve
    Client-Version: 10.1.34-MariaDB
    Datenbankpräfix: wpdw_
    
    ### WordPress-Konstanten ###
    
    ABSPATH: /home/clevuzpg/public_html/
    WP_HOME: Nicht definiert
    WP_SITEURL: Nicht definiert
    WP_DEBUG: Deaktiviert
    WP_MAX_MEMORY_LIMIT: 256M
    WP_DEBUG_DISPLAY: Aktiviert
    WP_DEBUG_LOG: Deaktiviert
    SCRIPT_DEBUG: Deaktiviert
    WP_CACHE: Deaktiviert
    CONCATENATE_SCRIPTS: Nicht definiert
    COMPRESS_SCRIPTS: Nicht definiert
    COMPRESS_CSS: Nicht definiert
    WP_LOCAL_DEV: Nicht definiert
    
    ### Dateisystem-Rechte ###
    
    Das Haupt-WordPress-Verzeichnis: Schreibbar
    Das Verzeichnis wp-content: Schreibbar
    Das Uploads-Verzeichnis: Schreibbar
    Das Plugin-Verzeichnis: Schreibbar
    Das Theme-Verzeichnis: Schreibbar
    
    

    Das sieht soweit alles ziemlich normal aus.

    Also an https bin ich dran. Habe das mit meinem Hoster auch schon besprochen. Leider kann ich es erst umstellen, wenn die Seite wieder normal ist.

    Weißt du eventuell woran es noch liegen könnte?

    Ich habe mich jetzt nochmal mit meinem Webhoster auseinandergesetzt. Mal sehen was dabei herauskommt.

    Ich habe nochmal eine weitere Frage. Wie kann ich mein WordPress Login ändern. Momentan logge ich mich noch unter meinerdomain/wp-admin ein. Wie kann man das ändern?

    Momentan logge ich mich noch unter meinerdomain/wp-admin ein.
    Das ist vermutlich nicht korrekt. Wenn du keine Plugins installiert hast, wirst du bei Aufruf von wp-admin zum Anmeldeformular wp-login.php weitergeleitet, wenn du nicht bereits angemeldet bist. wp-admin ist aber nicht die Anmeldeseite.

    Wenn du dieses Formular auf eine andere URL verschieben möchtest, kannst du z.B. das Plugin Rename wp-login.php oder ein Sicherheits-Plugin wie SecuPress nutzen. Das ist allerdings nur „Security through obscurity“ und hält nur einfache, automatisierte Angriffe ab.

    Also ich habe jetzt die Antwort von google bekommen. Google sagt, dass immer noch Seiten auf https://www.cleverfitness24.com/ vorhanden sind, die Besucher zu Malware oder Dateidownloads für Malware oder unerwünschte Software weiterleiten.
    Weißt du, wie man herausfinden kann, welche Seiten damit gemeint sind, eher gesagt welche es sind.
    Ich biete zwei PDF-Downloads an. Könnte mir nur da vorstellen, dass das problematisch ist.

    Das hatte ich doch schon beschrieben:

    Im Zweifelsfall solltest du den Support deines Webhoster ansprechen, damit der Webserver so zurückgesetzt wird, dass du die Domain aus den schwarzen Listen entfernen lassen kannst. Danach kannst du ein unkompromittiertes Backup wiederherstellen.

    Du kannst natürlich viel Zeit mit der Suche nach Backdoors verbringen, aber es ist vermutlich effizienter den Server neu aufzusetzen.

    Wie du WordPress nach einem Angriff bereinigst, habe ich hier beschrieben:

    https://pixolin.de/arbeitsschritte-reparatur-gehackte-website/

    Also es jetzt ein bisschen Zeit vergangen. Habe ein altes Backup auf den gelöschten Server geladen. Jedoch ist meine Seite durch die Google Überprüfung wieder durchgefallen. Weißt du vielleicht noch etwas, was ich machen könnte?

    Moderator Torsten Landsiedel

    (@zodiac1978)

    Was ist denn alles auf deinem Webspace? Vielleicht ist das Backup schon betroffen?
    Das Health Check Tool bietet einen Integrity Check an, damit kann man die WP-Dateien auf Veränderungen prüfen. Der wp-content-Ordner muss aber manuell geprüft werden. Themes+Plugins ggf. löschen und mit frischen Downloads ersetzen. Das gleiche machst du, wenn der Integrity-Check was meldet (aber vorher genau schauen, manchmal ist eine Abweichung korrekt.)

    Wenn noch andere Verzeichnisse auf dem Webspace sind. Alle akribisch durchschauen. Manuell.

    Manchmal hilft ein Download (ohnhin sinnvoll) und ein anschließender Scan mit einem Virenscanner über den Download-Ordner, um den Übeltäter zu finden. Das Problem ist halt: Eine Backdoor übersehen und alles kommt wieder. Also ggf. auch checken, ob das wirklich noch online sein muss.

    Viel Erfolg!

    Gruß, Torsten

Ansicht von 12 Antworten - 1 bis 12 (von insgesamt 12)
  • Das Thema „Phishing-Verdacht“ ist für neue Antworten geschlossen.