Support » Allgemeine Fragen » Seltsame Links bei Herkunftsseiten

  • Hallo,

    ich weiß gar nicht, wie ich meine Frage präzisieren soll – mir ist etwas seltsames aufgefallen und ich frage mich, ob das so seine Richtigkeit hat oder ob meine Website gehackt wurde.

    Ich habe das Plugin „Count per Day“ installiert und schaue dort immer mal auf die Herkunftsseiten. Dabei tauchen immer wieder Unterseiten meiner eigenen Website auf, die es nicht gibt und die ich auch nie erstellt habe (s. Bild, die rot markierten). Ich lande dabei immer auf meiner Website mit dem Hinweis, dass die Seite nicht existiert.

    Ich kann damit überhaupt nichts anfangen. Woher kommen diese Seiten?

    Screenshot der Adressen (weshalb auch immer lässt es sich nicht direkt anzeigen)
    http://fs5.directupload.net/images/160810/iz2s97jp.jpg
    Screenshot der Adressen

    Moderationshinweis: Image-Tag hinzugefügt. Grüße, Bego

    Danke für jegliche Erklärungen 🙂
    Lisa

Ansicht von 12 Antworten - 1 bis 12 (von insgesamt 12)
  • Das könnte tatsächlich ein Hinweis sein, dass in deiner Website Malware vorhanden ist. Schau doch mal, ob du mit dem Plugin Sucuri Security – Auditing, Malware Scanner and Security Hardening etwas herausfindest.

    • Diese Antwort wurde geändert vor 7 Jahren, 8 Monaten von Bego Mario Garde. Grund: Link hinzugefügt

    Das Online-Tool von Sucuri Security zeigt aktuell keine Malware an, was aber keine Gewähr bedeutet, dass die Website definitiv nicht gehacked wurde.
    Hast du das Plugin „invit0r“, das auf der Grafik gezeigt wird, tatsächlich installiert und aktiviert? Es ist derzeit gar nicht mehr im Plugin-Verzeichnis gelistet. 2012 hatte das Plugin eine Vulnerability, wodurch ein Angreifer beliebige Dateien einschleusen konnte. Gleiche Frage für die anderen Plugins, die da angezeigt werden. Wurden sie von dir selbst installiert und sind sie aktuell aktiviert?

    • Diese Antwort wurde geändert vor 7 Jahren, 8 Monaten von Flower33.

    Die gezeigte Grafik ist übrigens wenig aussagekräftig, weil sie nur einen Bruchteil der Pfade anzeigt.

    Thread-Starter wanderfalke

    (@wanderfalke)

    Hallo,

    Das Plugin von Sucuri Security habe ich jetzt installiert, aber muss mich erst mal einlesen, wie ich es richtig verwende… Habt ihr einen Tipp, was ich jetzt direkt am besten tun kann?

    Beispielhaft noch mal die vollen Links. Diese Plugins sind nicht installiert/aktiviert und wurden das von mir auch nie. Mein Virenprogramm schlägt auf den Seiten nicht an.

    http://lisapannek.com/wp-content/plugins/hungred-post-thumbnail/js/hpt_ini.js

    http://lisapannek.com/wp-content/plugins/invit0r/lib/php-ofc-library/ofc_upload_image.php

    Die Website wurde erst 2013 aufgesetzt.

    • Diese Antwort wurde geändert vor 7 Jahren, 8 Monaten von wanderfalke.
    • Diese Antwort wurde geändert vor 7 Jahren, 8 Monaten von wanderfalke.

    Findest du denn per FTP-Programm oder über das Dateiverwaltungsmenü deines Webhoster Dateien in diesen Verzeichnissen?

    Wenn du das Sucuri-Plugin installiert hast, geh doch mal auf Sucuri Security > Malware Scanner und starte den Scan.

    Wenn diese Plugins bei dir nie installiert waren, ist das natürlich schon seltsam und du solltest dem nachgehen (siehe Begos Vorschläge). Da die Malware-Scanner bisher nicht anschlagen, würde ich auch mal mit dem Deutsch sprechenden Plugin-Autor von CPD Kontakt aufnehmen. Auf dieser Seite bietet er unten die Möglichkeit, Fragen zu stellen und reagiert offenbar auch. Vielleicht ist ihm Ähnliches im Zusammenhang mit seinem Plugin ja schon mal untergekommen.

    Nachtrag: Ich würde vielleicht bei Vulnerability-Verdacht in anderen Foren etc. keinen Screenshot mit dem Domainnamen machen, eher die kompletten Pfade angeben und davor meinedomain.de setzen.

    • Diese Antwort wurde geändert vor 7 Jahren, 8 Monaten von Flower33. Grund: Nachtrag

    Es kann auch sein, dass jemand auf der Suche nach Exploits die Adresse eines nicht vorhandenen Plugin eingibt und dann auf eine 404-Seite umgeleitet wird, der Besucher aber als Herkunft registriert wird. Die Website selbst sieht auf den ersten Augenschein OK aus und wenn sonst keine Auffälligkeiten sind und der Malware-Scanner auch nichts ausweist, ist alles OK.

    Tolle Illustrationen übrigens, auch die Website finde ich recht gelungen. 🙂

    Es kann auch sein, dass jemand auf der Suche nach Exploits die Adresse eines nicht vorhandenen Plugin eingibt und dann auf eine 404-Seite umgeleitet wird, der Besucher aber als Herkunft registriert wird.

    Das klingt einleuchtend!

    Thread-Starter wanderfalke

    (@wanderfalke)

    Den Malwarescanner habe ich gleich durchlaufen lassen, scheint alles in Ordnung.

    Es kann auch sein, dass jemand auf der Suche nach Exploits die Adresse eines nicht vorhandenen Plugin eingibt und dann auf eine 404-Seite umgeleitet wird, der Besucher aber als Herkunft registriert wird.

    Wenn das tatsächlich eine mögliche Quelle ist, bin ich erst mal erleichtert…
    Ich wollte morgen noch mal mit dem Büro sprechen, dass die Seite programmiert hat, um dann hoffentlich alle Zweifel beseitigen zu können.

    Tolle Illustrationen übrigens, auch die Website finde ich recht gelungen.

    Vielen Dank!
    Und natürlich auch für die Beratung!

    Ich wollte morgen noch mal mit dem Büro sprechen, dass die Seite programmiert hat

    Es wäre auch interessant gewesen, einen Kommentar des Plugin-Autors zu hören. Der wäre IMHO die geeignetste Person gewesen, die einleuchtende Erklärung Begos zu obiger Notationspraxis zu bestätigen.

    Thread-Starter wanderfalke

    (@wanderfalke)

    Ich habe jetzt nicht mit dem Programmierer der Seite, sondern mit einem anderen Webdesigner gesprochen und auch er hat mir bestätigt, was ihr vermutet habt. In den letzten 24 Stunden hatte ich fast 100 Login-Versuche – ich habe da kein Gefühl für ein Verhältnis, aber es erscheint mir ganz schön viel…

    Besonders fleißig ist da immer der gleiche. Bei Sucuri habe ich nur eine Whitelist gefunden, gibt es auch eine Blacklist, damit ich die IP zumindest temporär sperren kann?

    In den letzten 24 Stunden hatte ich fast 100 Login-Versuche

    Besonders fleißig ist da immer der gleiche. Bei Sucuri habe ich nur eine Whitelist gefunden, gibt es auch eine Blacklist, damit ich die IP zumindest temporär sperren kann?

    Dafür kann man ein Plugin einsetzen, z.B. Cerber Limit Login Attempts oder andere (bekannter, aber lange nicht mehr upgedatet), oder bestimmte IP-Adressen manuell in der Datei .htaccess sperren (Deny from IP-Adresse). Eine grundlegende Maßnahme ist zudem, nicht mit dem Standard-Benutzernamen „admin“ unterwegs zu sein und vor allem, ein starkes Passwort zu verwenden. Das wären mal ein paar Maßnahmen, die mir spontan einfallen, wobei es noch zig andere gibt, um eine WP-Installation abzusichern.

    • Diese Antwort wurde geändert vor 7 Jahren, 8 Monaten von Flower33.
Ansicht von 12 Antworten - 1 bis 12 (von insgesamt 12)
  • Das Thema „Seltsame Links bei Herkunftsseiten“ ist für neue Antworten geschlossen.