Google und Bing haben meine Seite gehijacked

Beitrag von **Zele** » 30.03.2010, 21:45

Hallo zusammen

Ich habe eine Seite für einen gemeinnützigen Verein erstellt unter der Domain www.burkinanooma.com.
Durch die Eingabe der Seite im Browser direkt kommt man schön brav auf die Seite und alles ist schön

.
Sucht man nach der Seite bei Google oder Bing, taucht BurkinaNooma in den Suchergebnissen auf und die beiden Sucher versprechen auch auf die richtige Domain zu verlinken, es öffnet sich aber eine andere Seite (manchmal mit Trojanerinstallationsversuch, mal mit sonst nem Scheiss).

Kann mir jemand sagen, was hier schief gelaufen ist bzw. was man dagegen machen kann?

Vielen Dank für die Hilfe

von **Anzeige von ABAKUS** »

Hochwertiger Linkaufbau bei ABAKUS:

Google-konformer Linkaufbau
nachhaltiges Ranking
Linkbuilding Angebote zu fairen Preisen
internationale Backlinks

Wir bieten Beratung und Umsetzung.
Jetzt anfragen: 0511 / 300325-0

Beitrag von **oliverp19** » 30.03.2010, 21:56

Interessant...hab ich so auch noch nicht gesehen.

Mit Google oder Bing hat das allerdings nichts zu tun. Da hat jemand dein Joomla "gehackt" und Schadcode eingefügt.

Wenn ein Besucher über eine Suchmaschine (und damit nicht-leeren Referer) auf deine Seite kommt, wird er an dubiose Adressen weitergeleitet. Gibst du deine Adresse im Browser ein (leerer Referer) wird deine Seite normal angezeigt.

So wird der Hacker verhindern wollen, dass es dir als Seitenbetreiber auffällt. So zumindest meine Vermutung...

Was du dagegen tun kannst: Backup einspielen, alle Plugins/Mods deaktivieren und Updates einspielen.

Edit: in deinem Quelltext stehen auch viele böse links im noscript-Tag

Grüße
Oli

PS.: kann natürlich auch sein, dass ich völlig daneben liege

Beitrag von **tinopia** » 30.03.2010, 21:57

Joomla ist eben das beste SEO CMS!

von **Anzeige von ABAKUS** »

SEO Consulting bei ABAKUS Internet Marketing
Erfahrung seit 2002

persönliche Betreuung
individuelle Beratung
kompetente Umsetzung

Jetzt anfragen: 0511 / 300325-0.

Beitrag von **mgutt** » 30.03.2010, 21:57

Ich würde mal sagen, dass Deine Seite gehackt wurde und wenn Google oder Bing als Ref übergeben wird, wird der Besucher auf eine Trojanerseite weitergeleitet. Beliebte Methode, weil das dem Webmaster erst spät auffällt.

Häufig auch mit Cookieprüfung verbunden, damit der Webmaster erst recht nichts merkt.

Ist gerade ganz beliebt gegen vBulletin im Einsatz.

Beitrag von **Zele** » 30.03.2010, 22:00

Das hat der Hund aber dann wirklich gut gemacht

. Vielen Dank für deine erste Analyse. Hat jemand eine Idee, in welcher Datei ich danach suchen könnte? Ist wirklich gut gemacht

Beitrag von **tinopia** » 30.03.2010, 22:03

Small Question:

Hast du noch mehrere Seiten auf dem Webspace? Wenn ja, bei denen das selbe?
ODER:
Eventuell sogar eigener V-Server oder Root?

PLUS:
Joomla auf dem aktuellsten Stand gewesen? Welche Mods installiert? Die alle auf dem aktuellen Stand?
PLUS:
Änder mal ganz schnell deine FTP, mySQL & Backend Zugangsdaten. Oder falls Root & vServer dort die Zugangsdaten.

Falls der Angreifer dort auch noch Zugriff haben sollte, wäre das mal sehr praktisch... Nicht das wir noch ne komplette Spamschleuder mehr im Netz haben.

Beitrag von **oliverp19** » 30.03.2010, 22:09

Hat jemand eine Idee, in welcher Datei ich danach suchen könnte?

Das kann überall, auch mehrfach stehen. Selbst wenn du es beseitigst, ist ja die Lücke nicht geschlossen. Der Angreifer hatte definitiv Zugriff auf deine Dateien und damit auch deine Datenbank.

Als erstes solltest du eine aktuelle Joomla-Version einspielen. Soweit ich das sehe, benötigst du keine externen Module für die Seite. Deshalb würde ich diese auch weglassen...aller Wahrscheinlichkeit nach ist nämlich eine veraltete Komponente dafür verantwortlich, nicht Joomla selbst.

Grüße
Oli

PS.: ein ordentliches Impressum kann bei so einer Webseite nicht schaden

Beitrag von **Zele** » 30.03.2010, 22:13

Ich habe 1.5.15 am laufen. Das Modul Smartbookmarker und die Komponenten Joomfish, Chrono Contact und Ozio Gallery 2 hab ich jedoch noch drauf.

Beitrag von **oliverp19** » 30.03.2010, 22:20

Da haben wir den Übeltäter doch vermutlich schon: Ozio Gallery

https://secunia.com/advisories/37974/

via:

https://www.joomla-downloads.de/sicherh ... mponenten/

Grüße
Oli

Beitrag von **tinopia** » 30.03.2010, 22:22

https://secunia.com/advisories/37974/

Das kannst dir ja mal ansehen. Voala, haste deinen bösen Freund!

Also, Zugangsdaten komplett ändern und am besten ein Backup einspielen, wo es sicher noch nicht infiziert war das System...

EDIT: Da war einer schneller

Beitrag von **Zele** » 30.03.2010, 22:40

Autsch, wie ein blutiger Anfänger (der ich eigentlich irgendwie ja auch bin

)

Vielen Dank für die schnelle Hilfe. Das mit dem Backup wird wohl nichts werden, da dieses nach der Ersterstellung mit Ozio gemacht wurde. Gibts halt mehr Arbeit

Beitrag von **nepomuk44** » 31.03.2010, 08:57

Also wenn ich die www.burkinanooma.com/ URL aufrufe bekomme MASSIG Virenmeldungen meines Scanners. Vielleicht solltest Du die Seite mal vom Netz nehmen.

Also besser nicht nach BurkinaNooma und dann auf den Link bei Google klicken!

Beitrag von **tinopia** » 31.03.2010, 09:07

Bei mir kommen sie nur über Google, aber bis jetzt NIE VIREN ODER TROJANERMELDUNGEN, sondern nur der gewöhnliche Malwareshit. Also nicht allzuschlimm, wenn man sie aufruft, schön isses natürlich nicht :>

Beitrag von **nepomuk44** » 31.03.2010, 09:22

Kann mich da nur nochmal wieder holen.
AVIRA spielt kommplett verrückt, ein wenig unischer fühle ich mich da schon. Lasse grade mal einen Virensan laufen...

Aufruf über Googel mit Firefox

Beitrag von **mgutt** » 01.04.2010, 08:44

Nur mal so am Rande. Mittlerweile wird nicht mehr nur nach offensichtlichen Lücken in Softwares gesucht, sondern versucht den jeweiligen Admin auf XSS-anfällige Seiten zu locken oder auf speziell präparierte, um dann mit seinem Login im Adminbereich rumzufuschen. Das nennt man XSRF:
https://de.wikipedia.org/wiki/Cross-Sit ... st_Forgery

Es kann also durchaus sein, dass die eingesetzte Software überhaupt keinen Schutz vor XSRF bietet. Dazu sollte man den jeweiligen Support befragen. Insbesondere sollte man jedes einzele Modul hinterfragen: Könnte jemand mit meinem aktuellen Login und dem Aufrufen einer bekannten URL oder dem Absenden eines Formulars dessen Ziel eine bekannte URL, ist eine Aktion auslösen? (also statische URLs ohne zufälligen Paramentern wie Session-IDs).

Wenn man selbst XSS-Lücken auf der Seite hat und mit der aktuellen Browsersitzung bereits im Adminbereich war, kann der Angreifer auch den .htacess-Schutz überwinden (den hoffentlich jeder realisiert hat

).

Vor den XSRF-Attacken wurde übrigens vermehrt auf Trojaner gesetzt. D.h. die oben genannte Attacke kann durchaus dazu genutzt worden sein noch mehr Webmastern Trojaner unterzuschieben, damit deren Zugänge direkt live auf deren PCs extrahiert oder ausgelöst werden können.

Relativ sicher ist man, wenn man administrative Aktionen an einem getrennten "Gast"-Rechner ausführt, in dessen Browser JScript und Javascript deaktiviert sind. Und mit getrennt meine ich außerhalb des sonst genutzten Netzwerks