Support » Allgemeine Fragen » www.SpamerDomain.tld im Foodblog

  • Gelöst Thobie

    (@thobie)


    Moin,

    ich bin im Moment etwas ratlos.

    Ich habe seit einiger Zeit festgestellt, dass beim Aufrufen der Startseite meines Foodblogs http://www.nudelheissundhos.de auf meinem iPad links direkt unterhalb des Headers in der weißen Fläche für einen Bruchteil einer Sekunde eine Textzeile auftaucht, die ich aber nicht lesen kann, es geht zu schnell. Ich habe nun nach vielen ergebnislosen Versuchen, mit einer App vom Screen ein Video aufzuzeichen, dies mit der Kamera gemacht. Der Text lautet:

    http://www.SpamerDomain.tld

    Ich habe nun recherchiert, Pure Acai Berry Max ist ein natürliches Mittel aus Beeren zur Gewichtsabnahme. Da hat mir irgend jemand etwas eingeschleust?

    Ich habe nun das Blog geprüft:
    • Ich habe keine ungewöhnlichen oder neuen Benutzeranmeldungen.
    • Ich habe keine Spamkommentare.
    • Ich habe keine Links zu dieser Website oder dem Produkt im Blog.
    • Ich habe keine Werbelinks im Blog, die in irgendeiner Weise auf diese Seite oder zu dem Produkt verweisen.
    • Ich habe die Datenbank und das Blog mit einem Suchen&Ersetzen-Plugin nach dem Text durchsucht, kein Ergebnis.
    • Ich habe den Serverinhalt des Blogs nach Textstellen aus der oben genannten URL durchsucht, kein Ergebnis.
    Es scheint nichts vorhanden zu sein.

    Suche ich aber über Google nach dem Text im Titel dieses Beitrags, werden vier Suchergebnisse meines Blogs ausgeworfen: Seite 22 des Blogs mit der Auflistung von Rezepten, und drei Verlinkungen von Networkedblogs, wo das Blog gelistet ist, mit jeweils einer verkürzten URL auf drei Rezepte im Blog von 2012 und 2013. Bei Networkedblogs habe ich nachgeschaut, aber nichts auffälliges gefunden. Ich habe den Quelltext aller vier Seiten meines Blogs aufgerufen und ebenfalls nach Textstellen durchsucht, kein Ergebnis.

    Soweit der Stand der Dinge. Irgend etwas muss das Auftauchen des Textes auf der Startseite verursachen. Aber ich komme nun nicht mehr alleine weiter.

    Hat jemand ein Idee, was da vorliegen kann?

    Grüße

    Thobie

Ansicht von 14 Antworten - 1 bis 14 (von insgesamt 14)
  • Thread-Ersteller Thobie

    (@thobie)

    Der Text, der erscheint, ist keine komplette, anklickbare URL – was aufgrund dessen, dass er nur Sekundenbruchteile erscheint, auch nicht ginge – mit „http://“, sondern – ich schreibe dies jetzt mit Leerstellen, weil die Forensoftware es wieder in einen Link umwandeln würde:

    www. pure-acai-berry-max. de

    Grüße

    Thobie

    Thread-Ersteller Thobie

    (@thobie)

    Moin,

    ein Bekannter hat mich nun darauf hingewiesen, dass der Text doch im Quelltext steht:

    <div id=“main“ class=“row“>
    <div id=“left-nav“><div id=“4c1e809ea5″>http://www.SpamerDomain.tld</div><script type=“text/javascript“>document.getElementById(„5ae908e1c4“.split(„“).reverse().join(„“)).style.display = „none“</script></div>

    Ich habe mich zwar schlau gemacht, was das Javascript genau macht – sehr raffiniert –, aber wo ich das Ding im Foodblog finde und wo es somit versteckt ist, weiß ich nicht, ich habe schon alles durchsucht. Mit den CSS-Angaben komme ich noch nicht weiter.

    Grüße

    Thobie

    Thread-Ersteller Thobie

    (@thobie)

    Nachtrag:

    Es sitzt nicht in einer linken Navigation(sleiste). Ich habe versuchsweise 5–6 andere Themes ausprobiert und jeweils den Quelltext geprüft. Es sitzt irgendwo anders, schreibt sich aber immer oben links in irgend etwas hinein, das war einmal der Header/Titel, dann die Menüleiste, eine Slideshow oben, sogar einmal in den Titel des obersten Rezeptes.

    Aber ich finde nicht, was den Quelltext schreibt und wo es sitzt.

    Thobie

    Wurde ein Blog einmal gehackt, gibt es viele Möglichkeiten, wo der Hacker Schad-Code hinterlassen haben könnte. Das reicht bis hin zum Ordner mit den Media-Uploads (in dem viele wohl zuletzt suchen, weil sie Fotos für unkritisch halten). Die Wahrscheinlichkeit, dass man dabei ein offenes Hintertürchen für den Hacker (so genannte Backdoor) übersieht, ist leider recht groß. Kurz: statt in einzelnen Dateien nach Fehlern zu suchen, solltest du soviel Dateien wie möglich einfach austauschen.

    Dazu würde ich folgendermaßen vorgehen:

    • Komplettes Backup aller Dateien und Datenbank-Inhalte erstellen (z.B. mit Plugin BackWPup).
    • Verwendete Themes und Plugins notieren
    • Alle Dateien mit folgenden Ausnahmen löschen.
    • .htaccess
    • wp-config.php
    • Ordner wp-content/uploads
    • ggf. selbst erstelltes Themes, wobei in diesem Fall eine Untersuchung mit dem Plugin Antivirus sinnvoll wäre.
    • In der Regel bietet der Web Host zur Administration der Datenbank das Programm phpMyAdmin an. Damit nach unbekannten Einträgen in der Tabelle wp_users suchen
    • Dateien .htaccess und wp-config.php auf Ungereimtheiten durchsuchen. (Wenn du dir unsicher bist, auf Pastebin teilen und den Link hier mitteilen. Dabei solltest du aber die Zugangsdaten zu deiner Datenbank unkenntlich machen.)
    • Ordner wp-content/uploads in _wp-content/uploads umbennen und durchschauen, ob er wirklich nur Medien-Dateien enthält.
    • Frischen Datensatz herunterladen, entkomprimieren und per FTP hochladen.
    • Den Uploads-Ordner aus _wp-content in wp-content verschieben
    • Das Backend aufrufen. Du erhältst wahrscheinlich einen Hinweis, dass WordPress die installierten Plugins nicht finden konnte und deshalb deaktiviert hat
    • Plugins entsprechend der vorher erstellten Liste wieder neu installieren und aktivieren

    Zusätzlich solltest du überlegen, wie der Hacker deinen Blog angreifen konnte. Hast du schwache Passwörter genutzt (nicht nur Blog sondern auch FTP, Datenbank und Kundenmenü)? Verwendest du eine aktuelle Version von WordPress (ist bei dir der Fall) und allen installierten Plugins? Nutzt du beim Einloggen ins Backend https:// (vor allem in öffentlich zugänglichem W-LAN)?

    Viel Erfolg.

    Hallo,

    hab die Domain des Spammers durch SpamerDomain.tld ersetzt.

    Gruß
    Frank

    Thread-Ersteller Thobie

    (@thobie)

    Moin,

    da hilft tatsächlich nur neu aufsetzen?

    Zunächst einmal zur Eingrenzung. Das Blog läuft stabil, auch wenn es gehackt wurde. Was veranstaltet dieser kurze Schadcode im Blog, außer dass auf Tablets für Sekundenbruchteile die URL aufblitzt?

    Zur möglichen Ursache. Ich erinnere mich, dass ich diese aufblitzende Textzeile schon recht lange im Blog habe, es hat mich zwar gewundert, aber bisher nicht so ganz verwirrt. Dazu würde auch passen, dass der Schadcode auch in Beiträgen von 2012 und 2013 auftaucht, wie das Suchergebnisse bei Google ergab, wenn ich das so richtig einordne.

    Ich kann mich daran erinnern, dass ich vor 1–1 1/2 Jahren – ich habe das Blog vor 2 Jahren gegründet –, zum einen sehr viele Spamkommentare hatte, bis ich einige Plugins installierte, die den Spam aussortierten oder ihn verhinderten. Seitdem ist das Blog eigentlich spamfrei. Zum anderen hatte ich aber auch 1–2 Besucher, die sich als Autor angemeldet und sehr merkwürdige Mailadressen hatten. Ich dachte mir dabei zunächst nichts und entschied mich, erst einmal abzuwarten, bis ich dann nach einiger Zeit diese Besucher doch gelöscht habe. War das eventuell eine Möglichkeit für eine Backdoor für einen Hacker?

    Grüße

    Thobie

    Thread-Ersteller Thobie

    (@thobie)

    Moin,

    ich habe jetzt nur das aktuelle Theme und die aktiven Plugins im Contentordner. Alle Medien habe ich durch Umbennung des Upload-Ordners vorübergehend deaktiviert.

    Der Schadcode wird dennoch ins HTML geschrieben.

    Grüße

    Thobie

    Thread-Ersteller Thobie

    (@thobie)

    Moin, pixolin,

    Verständnisfrage: Beim Aufsetzen eines neuen WordPress-Blogs, warum nicht insgesamt eine saubere Installation – bis auf die Datenbank und den Medienupload –, dagegen diese Dateien nicht löschen:

    .htaccess
    wp-config.php

    Ich werde in einem neuen Ordner auf dem Server ein sauberes, neues WordPress installieren. Eine neue Datenbank anlegen. Theme und Plugins neu installieren. Medienupload-Ordner prüfen. Dann bestehende Datenbank im PHPMyAdmin prüfen und Inhalte in neue Datenbank kopieren. Damit ich das bestehende Blog weiterhin als Vergleich habe.

    Grüße

    Thobie

    Oder so. 🙂

    Thread-Ersteller Thobie

    (@thobie)

    Ich würde mich doch wirklich freuen, wenn meine Fragen beantwortet würden. 🙂

    Thobie

    Ups, die anderen beiden Beiträge habe ich wohl übersehen.

    da hilft tatsächlich nur neu aufsetzen?

    Ich kann leider nicht beurteilen, wie groß der Schaden tatsächlich ist. Mich würde allerdings ein Spam-Link in meinem Blog schon ärgern und die Möglichkeit, dass jemand meinen Webserver missbraucht sehr irritieren. Deshalb: Ja, ich würde ihn neu aufsetzen.

    … bis ich dann nach einiger Zeit diese Besucher doch gelöscht habe. War das eventuell eine Möglichkeit für eine Backdoor für einen Hacker?

    Das würde ich mal ausschließen. In der Regel stecken die Sicherheitsrisiken in schlecht programmierten Plugins, schwachen Passwörtern, unsicheren Servern und veralteten WordPress-Versionen.

    ich habe jetzt nur das aktuelle Theme und die aktiven Plugins im Contentordner. Alle Medien habe ich durch Umbennung des Upload-Ordners vorübergehend deaktiviert.

    Der Schadcode wird dennoch ins HTML geschrieben.

    Und das heißt jetzt was?

    Beim Aufsetzen eines neuen WordPress-Blogs, warum nicht insgesamt eine saubere Installation …

    Deine Beschreibung weicht ja nicht so sehr von meiner Anleitung ab. Ich würde eben nur nicht Flickschusterei betreiben und versuchen, einzelne Dateien zu patchen, sondern das System neu aufsetzen. Ist letztendlich auch eine Kosten-/Zeitfrage.

    Ich würde mich doch wirklich freuen, wenn meine Fragen beantwortet würden. 🙂

    Besser jetzt?

    Thread-Ersteller Thobie

    (@thobie)

    Moin,

    alles geklärt, das Problem ist gelöst. Ich habe das WordPress CMS neu aufgesetzt, das von mir gewählte Theme neu installiert, alle verwendeten Plugins neu installiert, die Mediadaten und die Datenbank geprüft und dann beide eingebunden. Der Schadcode mit dem Spam-Link im Quellcode ist weg. Das stand vermutlich in irgend einer der Dateien des alten WordPress CMS.

    Grüße

    Thobie

    Thread-Ersteller Thobie

    (@thobie)

    Moin,

    nun erscheint auch bei der Suche nach dem Spam-Link bei Google mein Foodblog in den Suchergebnissen nicht mehr.

    Grüße

    Thobie

    Moderator espiat

    (@espiat)

    Topic als Gelöst markiert. Viel Spass weiterhin beim bloggen Thobie.

Ansicht von 14 Antworten - 1 bis 14 (von insgesamt 14)
  • Das Thema „www.SpamerDomain.tld im Foodblog“ ist für neue Antworten geschlossen.