Teilst du dir die Website mit einem weiteren Benutzer, vielleicht ohne dein Wissen?
Zitat von https://www.google.de/search?q=site:gaensehaut-momente.de&gbv=1&ie=utf-8&oe=utf-85 cards poker game rules
gaensehaut-momente.de › ...
Bewertung 98 % (32.487)
25.12.2023 · pro kabaddi rules for qualifiers หลังจากมองไปที่ใบหน้าใหญ่และดวงตาเล็กๆของเขามาสักระยะหนึ่งฉันก็ตระหนักว่าดวงตาของเขาไม่มีความโลภของสัตว์ประหลาดธรรมดาๆแต่อาจกล่าว ...
Da bekomme ich Gänsehaut.
Es erinnert mich eben an ein Sicherheitsproblem in manchen Contao-Installationen, das vor einigen Monaten hochgekommen ist. Da war es so, dass durch Änderungen in der index.php und weiteren php-Dateien, die an der Erstellung des Seitenquelltexts beteiligt sind, die Google-Suchergebnisse dieser Seiten auf eine andere Seite weitergeleitet wurden. Und zwar nur, wenn ein Referrer vorhanden war. Muss ich nochmal raussuchen die damaligen Beiträge. Da waren teilweise zig PHP-Dateien gleichzeitig betroffen, was die Entseuchung entsprechend schwer gemacht hat. Zumal es häufig erst spät bemerkt wurde, weil ja ohne Referrer nichts auffälliges zu erkennen war.
Sowas ähnliches vermute ich halt nun auch hier. Wordpress ist doch immer die Nr. 1, warum sollten die ausgerechnet dieses Problem ausgelassen oder erst nach Contao gehabt haben? 
Es erinnert mich eben an ein Sicherheitsproblem in manchen Contao-Installationen, das vor einigen Monaten hochgekommen ist. Da war es so, dass durch Änderungen in der index.php und weiteren php-Dateien, die an der Erstellung des Seitenquelltexts beteiligt sind, die Google-Suchergebnisse dieser Seiten auf eine andere Seite weitergeleitet wurden. Und zwar nur, wenn ein Referrer vorhanden war.
So was in der Art?
EDIT:
Aha. Gibt es natürlich auch bei Wordpress.
Aktueller informativer Artikel:
https://www.syssy.net/blog/cas…ite-hack-google-redirects
So was in der Art?
https://community.contao.org/d…-auf-Scamming-Webseite-um
Aha. Gibt es natürlich auch bei Wordpress.Aktueller Artikel:
Genau, das habe ich gemeint...
Du könntest ja mal das Wordfence-Plugin installieren und deine Seite damit scannen.
(Falls das nun überhaupt noch geht)
Du könntest ja mal das Wordfence-Plugin installieren und deine Seite damit scannen.
(Falls das nun überhaupt noch geht)
Also wenn es meine Seite wäre, würde ich sie noch in dieser Minute vom Netz nehmen, komplett neu aufbauen mit aktuellem Wordpress und eventuell ein paar Plugins weniger. Ebenfalls aktuell natürlich. So umfangeich ist die Website nun ja auch nicht, jedenfalls der Teil, der nicht von den Hackern stammt 
.
Also wenn es meine Seite wäre, würde ich sie noch in dieser Minute vom Netz nehmen, komplett neu aufbauen mit aktuellem Wordpress und eventuell ein paar Plugins weniger. Ebenfalls aktuell natürlich.
Ja. Ich würde das bei meiner Seite ganz genauso machen.
Es gibt auch irgendwo eine Seite, auf der alle bekannten Lücken von Plugins gelistet sind und in welchen Versionen das jeweils gefixt ist. url habe ich grad nicht zur Hand.
Teilst du dir die Website mit einem weiteren Benutzer, vielleicht ohne dein Wissen?
Da bekomme ich Gänsehaut.
Was ist das denn???? 
Also die Website neu machen ist für euch bestimmt alle total einfach, aber für mich war das wochenlange Arbeit mit unzähligen Youtube Tutorials 
Das Google Search Console Problem hat sich jetzt übrigens gelöst, hab auf "Überprüfung anfordern" geklickt und jetzt eine Nachricht bekommen, dass mit der Seite alles passt
>#21
haha, ja dann ist's eh' klar.
wann hast du denn zuletzt das update von WP gemacht und wann davor oder ist dein WP auf auto-update eingestellt?
Das Update wird immer automatisch gemacht
hast du ein passendes backup, als deine seite einigermaßen komplett war?
wenn ja, von wann?
man sieht bei google, daß es ja nicht nur im dezember malware-befall gab.
Soll ich diese Critical Files jetzt alle löschen?
Wenn es infizierte php-Dateien gibt, dann muss man natürlich unterschieden, ob das zusätzliche sind, die nicht Teil von WP bzw. Plugins sind (die kann man löschen) oder welche, die Teil von WP sind, aber modifiziert wurden. Die müsstest du dann durch die Originale aus einem unverseuchten WP (der gleichen Version) austauschen. Ob Wordfence aber tatsächich alle infizierten Dateien aufspüren kann, weiß ich natürlich nicht.
Das wird aber alles nichts nutzen, wenn das Einfallstor nicht geschlossen wird. Ansonsten werden die Dateien ganz schnell wieder durch Malware ersetzt. Du musst also alle Plugins überprüfen, ob die Version nicht evtl. löchrig ist. (Da gibt es entsprechende Infos im Netz)
Auf jeden Fall solltest du die Seite offline schalten, bevor du damit beginnst. Wenn du sie weiterhin online lässt, dann wird du hinten wieder infiziert, während du vorne aufräumst.
Diese Malware Links die bei Google kommen, sind die dann automatisch weg, wenn die Malware von der Seite weg ist?
Das sind ja keine echten Malware-Links, die führen ganz normal zu deiner Seite. Nur die Malware, die sich in deiner Seite eingenistet hat, ändert das Ziel dieser Links dann. Wenn die Malware weg ist, dann sind die Links bei Google auch wieder OK. (Sofern unsere Einschätzung richtig ist)
Wie sehe ich das denn bei Google, wann es einen Malware Befall gab?
griaß eana,
indem du den link aus #21 eingibst -> https://www.google.de/search?q=site:gaensehaut-momente.de
dort siehst du dann, daß deine seite schon sehr lange verseucht war.
ich habe heute einen weiteren Wordpress-fall reinbekommen – ebenfalls mit autonomen update/upgrades.
da das anscheinend nicht mehr hilft, wird WP ab sofort nicht mehr verwendet und empfohlen auf andere software umzusteigen.
in der engeren auswahl liegen zur zeit:
ich würde dir ebenfalls empfehlen, einen wechsel in betracht zu ziehen, wenn du eh' schon neu aufbauen musst.
und hier der nächste…
.... bedeutet das, das der Fehler dann von dem Updraft Plugin kommt, mit dem ich das Backup mache?
Nicht notwendigerweise. Die Malware kann überall abgelgt sein.
Aber möglich ist es natürliich. UpdraftPlus ist in der Vergangenheit schon mal durch Sicherheitslücken aufgefallen. (Aber welches WP-Plgin ist das noch nicht 
)
Google mal nach "updraftplus vulnerability"
Durch den Scan mit Wordfence konnten wir alle Dateien identifizieren und löschen bzw. reparieren.
Ich würde mich halt darauf nicht verlassen. Wenn der Angreifer nur halbwegs gut war, reicht das womöglich nicht aus und es gibt unentdeckte Reste die sich erst nach einiger Zeit bemerkbar machen...
Das grundlegende Vorgehen bei so etwas ist normalerweise:
Behalte das wenigstens genau im Auge, auch die Google-Suchergebnisse. Ich drücke Dir zwar die Daumen, dass es jetzt erledigt ist, aber ich persönlich würde mich nicht darauf verlassen. Wenn ein Angreifer mal PHP-Code ausführen konnte (RCE), heißt es Game Over! Und danach klingt es bei CVE-2023-5360 und Deiner Beschreibung, sofern wir davon reden.
