Malware auf meiner Webseite? (Bing und Yahoo zeigen XXX Seite mit meiner Domain)

  • Guten Tag,

    Es geht um meine Webseite https://www.animenachrichten.de

    Just 4 Fun hab ich meine Seite mal mit Bing und Yahoo gesucht um zu sehen, welche Seiten sich in den obersten Anzeigen angezeigt werden.
    Dabei ist mir aufgefallen das sowohl Yahoo und Bing an 2. oder 3. Stelle folgenden Link anzeigen: cdn.animenachrichten.de/?td=taboomedia.org/

    cdn.animenachrichten.de ist völlig normal aber warum wird am Ende "taboomedia.org" angezeigt? Es handelt sich hierbei um eine XXX-Webseite ( NICHT BESUCHEN !)

    Meine Frage nun:
    Woher kommt das? Ich hab bereits meine Datenbank gecheckt und sämtliche PHP Dateien. Ich kann mit dem Suchbegriff "taboomedia" nichts finden.

    Auch sämtliche Wordpress Antiviren / Malware Scanner die ich getestet habe, konnten keine Probleme feststellen oder finden.

    Wie werde ich diesen Link in beiden Suchmaschinen los?

    Freue mich auf eure Rückmeldung!

  • Vermutung:

    Du hast vermutlich ein PHP-Script (index.php) laufen, das eine Variable td verarbeitet, bei dem keine Eingabeüberprüfung der Variablen $td stattfindet.

    Der GET-Parameter wird unüberprüft übernommen, überschreibt die Variable und das Unglück nimmt seinen Lauf...


    Seite offline nehmen, Code überprüfen.

  • Vermutung:

    Du hast vermutlich ein PHP-Script (index.php) laufen, das eine Variable td verarbeitet, bei dem keine Eingabeüberprüfung der Variablen $td stattfindet.

    Der GET-Parameter wird unüberprüft übernommen, überschreibt die Variable und das Unglück nimmt seinen Lauf...


    Seite offline nehmen, Code überprüfen.

    Ich wüsste nicht ein mal was ich überprüfen sollte und versteh auch ehrlich gesagt kein Wort. :rolleyes:

    Meine Webseite:

    https://www.animenachrichten.de

  • Ich wüsste nicht ein mal was ich überprüfen sollte und versteh auch ehrlich gesagt kein Wort. :rolleyes:

    da ich die Skriptkonvolute auf Deiner Site auch nicht kennt, kann ich dazu nichts sagen, aber

    wenn ich

    cdn.animenachrichten.de/?td=example.de/

    nehme und daraus in der URL-Leiste des Browsers das wird

    https://www.animenachrichten.de/?td=example.de%2F

    ist einiges im argen;


    example.de ist hier Platzhalter f. meine Domain;

    im worst case pfuschen die Skriptkonvolute hier etwas, wo Du bis jetzt Glück hattest,

    dass dies evtl. noch niemand ausgenutzt hat, und auf die Art Deine Site infiltriert hat ...

    daher: Gefahr in Verzug, vom Netz nehmen ASAP¹

    ¹ das heisst nicht "Affen Software Aus Pakistan", sondern "as soon as possible"

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Welche Möglichkeit gibt es denn diesen Fehler zu behoben? Und wie kommt sowas zustande?

    Könnte evtl. ein Plugin schuld sein? (Ich nutze Wordpress)

    Meine Webseite:

    https://www.animenachrichten.de

  • Welche Möglichkeit gibt es denn diesen Fehler zu behoben? Und wie kommt sowas zustande?

    cdn.animenachrichten.de verweist auf einen externen Server (animenachrichten.b-cdn.net / 89.187.169.37), der nicht bei netcup liegt. Ich nehme mal an, dass Du diesen CNAME-Record in den DNS-Einstellungen so eingerichtet hast? Was dort genau läuft bzw. wie verarbeitet wird, musst Du somit den Betreiber von BunnyCDN fragen. Mit Deinem WordPress hat das in erster Linie wohl wenig zu tun.


    Edit: Allerdings verwendet Dein Wordpress diese Adresse aktiv in folgenden Tags:

    HTML
    <link rel='dns-prefetch' href='...' />
    <link rel="canonical" href="..."/>
    <link rel="amphtml" href="...">

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • cdn.animenachrichten.de verweist auf einen externen Server (animenachrichten.b-cdn.net / 89.187.169.37), der nicht bei netcup liegt. Ich nehme mal an, dass Du diesen CNAME-Record in den DNS-Einstellungen so eingerichtet hast? Was dort genau läuft bzw. wie verarbeitet wird, musst Du somit den Betreiber von BunnyCDN fragen. Mit Deinem WordPress hat das in erster Linie wohl wenig zu tun.

    Das stimmt sogar. Die DNS-Einstellung wird auf deren IP / Server weitergeleitet.
    Dann werde ich auf jeden Fall mal fragen müssen.

    Ich hab auf jeden Fall schon mal eine Firewall installiert damit solche "Fremdzugriffe" bzw. "bösartige URL" zukünftig (hoffentlich) nicht mehr auftauchen sollten.

    Meine Webseite:

    https://www.animenachrichten.de

  • Ergänzung: Ich hätte mir die Screenshots aus dem ersten Beitrag genauer ansehen wollen…


    Geht es Dir jetzt rein darum, dass dieser GET-Parameter in den Suchergebnissen auftaucht oder wirst Du beim Klick auf das Suchergebnis auch zu jener fremden Seite weitergeleitet? Letzteres wäre sehr besorgniserregend.


    Wenn es nur darum geht, dass es in Suchergebnissen auftaucht, wirst Du nicht viel dagegen machen können. Ich könnte jetzt auch nachfolgenden Link verbreiten und irgendwann würde er in Google & Co. auftauchen: https://netcup.de/?test=example.org/

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Ergänzung: Ich hätte mir die Screenshots aus dem ersten Beitrag genauer ansehen wollen…


    Geht es Dir jetzt rein darum, dass dieser GET-Parameter in den Suchergebnissen auftaucht oder wirst Du beim Klick auf das Suchergebnis auch zu jener fremden Seite weitergeleitet? Letzteres wäre sehr besorgniserregend.


    Wenn es nur darum geht, dass es in Suchergebnissen auftaucht, wirst Du nicht viel dagegen machen können. Ich könnte jetzt auch nachfolgenden Link verbreiten und irgendwann würde er in Google & Co. auftauchen: https://www.netcup.de/?test=example.org/

    Ich komme NICHT auf die gesagte Seite, ich komme trotz allem auf meine Webseite https://www.animenachrichten.de

    Das letztere wäre Katastrophal.. Also ist das gar nicht so schlimm?

    Meine Webseite:

    https://www.animenachrichten.de

  • Ich wüsste nicht ein mal was ich überprüfen sollte und versteh auch ehrlich gesagt kein Wort.



    Ich würde Dir in jedem Fall empfehlen, ein wenig zu PHP-Exploits, HTTP-GET und HTTP-POST sowie zur Überprüfung von Eingabewerten zu recherchieren, wenn Du auch nur irgendeine gehostete Software verwendest. Wir wissen ja, dass die "Hochglanz-Prospekte" für Hostingprodukte und CMS vieles versprechen, aber verschweigen, was alles passieren kann. Neue Exploits gibt es täglich, und jeder hier hat vermutlich das eine oder das andere Angriffsszenario schon irgendwo gesehen oder miterlebt - Willkommen im Club!

    Das Wissen darum ist sicherlich irgendwann hilfreich. Wenn Du konkrete Fragen hast, wird Dir hier sicher geholfen werden.


    Könnte evtl. ein Plugin schuld sein? (Ich nutze Wordpress)



    Es könnte auch schlicht eine Variable in Deinem (modifizierten?) Template (Design) sein oder ein veraltetes oder nicht mehr gewartetes Modul.

    Wenn, wie Du festgestellt hast, kein Datenbankeintrag mit dieser Domain existiert (es könnte dennoch einen geben, den Du wegen einer besonderen Codierung nicht als solchen erkennen kannst), ist hoffentlich auch keine SQL-Injection erfolgt.

    Wenn es nur darum geht, dass es in Suchergebnissen auftaucht, wirst Du nicht viel dagegen machen können. Ich könnte jetzt auch nachfolgenden Link verbreiten und irgendwann würde er in Google & Co. auftauchen: https://netcup.de/?test=example.org/


    Eventuell doch: mit den Google Webmaster Tools in der alten Version kann man Links aus dem Index entfernen lassen, wenn man Inhaber der Domain-Property ist.


    Hauptsache, der Fehler lässt sich nicht reproduzieren. Es ist aber auch denkbar, dass der in der URL codierte Variablenwert (URL) nur ein Symptom eines anderen Angriffsvektors ist. Einen in der Datenbank hinterlegten URL-Wert in Base64 würde man auf die Schnelle im Dump auch nicht finden.

    Die Daten könnten dabei auch von einer anderen URL stammen und nur mit diesem Parameter nachgeladen werden.


    Es kann auch sein, dass es sich um eine frühere Lücke handelt, die schon gestopft ist, und, die nur ihre Spuren im Suchindex hinterlassen hat. Wie auch immer, zweimal hinschauen und im Zweifel adäquate Maßnahmen (neu aufsetzen, überprüfte Daten migrieren/ vom Fehler unberührtes Backup einspielen und Updates im Wartungsmodus laden) zu setzen, kann notwendig sein. Ich möchte hier aber keinen unbegründeten Alarmismus betreiben.

    Du wirst nach einer ausreichenden Recherche wissen, was Du tust, oder Du wirst externe Hilfe in Anspruch nehmen und verantwortungsvoll handeln.

  • Die Seite läßt sich da beliebige Parameter anhängen und diese werden dann sogar ins link rel canonical so mit reingeschrieben, also Google wird geradezu angewiesen das so zu indizieren, und die Parameter tauchen auch an anderer Stelle im Quelltext auf. Und so macht deine Seite dann unfreiwillig Werbung für andere...


    Normalerweise gehört das gefiltert, also nur tatsächlich bekannte und relevante Parameter ins Canonical und in die Ausgabe. Du hast keinen Einfluss darauf wie andere deine Seite verlinken und welche Parameter sie anhängen, aber dann sollte das keinen Einfluss auf die Ausgabe und Canonical-Tags haben.


    Eine Stufe stärker wäre dann noch explizite Redirects zu machen, so wie es das Forum hier tut wenn ich den Link https://forum.netcup.de/anwend…-seite-mit-meiner-domain/ stattdessen ändere zu https://forum.netcup.de/anwend…3241-irgendwas-komisches/