Henry: Webseite wird nichtmehr angezeigt

Hallo,

gebe ich bei Google "FS Bürosysteme" ein und klicke auf den Link www.fs-buerosysteme.de so wird mir diese Seite korrekt angezeigt. Gehe ich denn über den Zurück-Button des Browsers wieder zurück auf die Google Ergebnisseite und Klicke erneut auf den Link www.fs-buerosysteme.de so wird mir die Seite nichtmehr angezeigt sondern folgendes:

This AdF.ly account has been suspended.

If you feel this has been in error, please see our terms and conditions.

Was hat das zu bedeuten, bzw. was kann ich tun um diesen Fehler zu beheben

  1. Moin!

    Deine "Fehlermeldung" kann ich hier nicht nachvollziehen. Auch weil die Seite auf "wp006.webpack.hosteurope.de" liegt.

    Vorschlag 1:

    Lösche mal den Browser-Cache. Kann sein, da hat mal jemand versucht Geld zu verdienen.

    Vorschlag 2a:

    Prüfe mal, ob Du Dir auf Deinem Rechner einen Virus eingefangen hast. Besonders, wenn derlei öfter und bei anderen Webseiten vorkommt würde ich darauf tippen. Vermutlich ist es eine gute Idee, sich auch mal den Quelltext anzuschauen, ob der mit dem erwarteten übereinstimmt oder Javascript enthält, welches auf adf.ly verweist oder überhaupt "seltsames JS" enthält - was, wenn ich die Seite anschaue, nicht der Fall ist.

    Vorschlag 2b:

    Prüfe auch die Adressauflösung mit nslookup. Es sollte etwas wie das hier herauskommen:

    www.fs-buerosysteme.de has address 80.237.132.13
    www.fs-buerosysteme.de has IPv6 address 2a01:488:42:1000:50ed:840d:3:22bf

    Falls nicht kann es ein Problem mit dem DNS geben oder aber auch hier ein Virus in das DNS eingreifen und alle Webseitenaufrufe zu einem Proxy umgeleitet haben, z.B. um Passwörter abzufangen oder auch nur um Links in allen oder einigen von Dir betrachteten Seiten unterzubringen, für die er Geld bekommt.

    Dann wäre es auch kein Wunder, wenn adf.ly ihn gesperrt hat.

    Sowas holt man sich mit Software aus merkwürdigen Quellen. Zum Beispiel von diversen Share-Hostern, zum Beispiel denen, die im Gulli beworben wurden oder auch in Software aus der der Piratenbucht.

    Jörg Reinholz

    1. Ich wollte nur sagen: ich kann Dein Problem nachvollziehen. Habe mir vorhin Deine Seite mit drei Browsern angesehen. Immer das gleiche. Beim Zweiten Aufruf kam die Fehlermeldung. Ich habe nicht geschrieben, weil ich Dir nicht helfen kann. Aber es sieht so aus, als wenn es nicht an Deinem Browser liegt. Dennoch: wenn man den Browsercache löscht ist das Problem tatsächlich wieder weg. Kommt aber gleich wieder...
      Viel Erfolg und bitte schreib mal, wenn Du die Ursache hast.
      Cheers,
      Baba

  2. Ich habe mir das Theater nochmal angesehen.

    Mit der Seite kommt eine halbe Tonne Javascript, die mit der Seite selbst nichts zu tun hat. Das sind diverse Tracker, irgendwelches Zeug, welches mit Google-Ads zu tun hat und darüber hinaus auch noch von googleads.g.doubleclick.net. Dazu einen ganzer Haufen Facebook- und sonstwas-Buttons.

    Hier sollte geprüft werden, wer da wem was verkauft hat und dann:

    a) Tut das Not?
    b) Tut das denn wirklich Not?
    c) Kann man das vielleicht abschalten?

    Wie viele "SEO-Spezialisten" waren denn an der Seiten schon dran? Natürlich sollen die ihr Zeug auch wieder wegräumen, wenn es denn nicht funktioniert und die Seite also Besenrein verlassen.

    Von Handwerkern wird derlei ja auch erwartet.

    Ansonsten ist die Seite ein schönes Beispiel was das bringt. "5 Besucher auf die hundert Tracker lauern". Dafür geht sie dann aber auch nicht.

    Jörg Reinholz

  3. Hi Henry!

    Sobald der HTTP-Request nach Suchmaschine stinkt, wird man auf http://ow.ly/mvxwF weitergeleitet – und das ist wiederum eine Weiterleitung auf http://adf.ly/RIMEF. Da das Benutzerkonto dahinter offenbar gesperrt wurde, bekommt man diese „This AdF.ly account has been suspended“-Seite angezeigt.
    Dieses Verhalten kannst du reproduzieren, indem du Worte wie Google, Yahoo, Bing, Aol oder Ask in den Referer-Header packst. AltaVista wird hier zu meiner Enttäuschung nicht erkannt…

    Durchsuch mal die Dateien auf deinem Server nach den besagten Suchmaschinen, irgendein Schuldiger wird sich schon finden.

    \0

    --
    sudo make me a sandwich
    1. Moin Menry!

      Martin schrieb:

      Hi Henry!

      Sobald der HTTP-Request nach Suchmaschine stinkt, wird man auf http://ow.ly/mvxwF weitergeleitet – und das ist wiederum eine Weiterleitung auf http://adf.ly/RIMEF.

      Tatsächlich!

      ~$ wget --referer=google.com http://www.fs-buerosysteme.de  
      --2013-10-03 11:28:28--  http://www.fs-buerosysteme.de/  
      Auflösen des Hostnamen »www.fs-buerosysteme.de (www.fs-buerosysteme.de)«... 80.237.132.13, 2a01:488:42:1000:50ed:840d:3:22bf  
      Verbindungsaufbau zu www.fs-buerosysteme.de (www.fs-buerosysteme.de)|80.237.132.13|:80... verbunden.  
      HTTP-Anforderung gesendet, warte auf Antwort... 301 Moved Permanently  
      Platz: http://ow.ly/mvxwF [folge]  
      --2013-10-03 11:28:28--  http://ow.ly/mvxwF  
      Auflösen des Hostnamen »ow.ly (ow.ly)«... 204.15.172.246, 204.15.172.215, 204.15.172.228  
      Verbindungsaufbau zu ow.ly (ow.ly)|204.15.172.246|:80... verbunden.  
      HTTP-Anforderung gesendet, warte auf Antwort... 301 Moved Permanently  
      Platz: http://adf.ly/RIMEF [folge]
      

      Das Problem dürfte sich demnach entweder in der .htaccess oder in der index.php oder in einer der zahlreichen, in diese includierten Dateien offenbaren. Das Problem liegt aber wahrscheinlich an einer unsicheren Wordpress-installation, unsicheren Passwörten oder an der Verwendung unsicherer Wordpress-Plugins.

      Das bedeutet: Selbst wenn Du das Symptom heilst wird die Krankheit schon bald wieder ausbrechen. Du brauchst "Vor-Ort-Hilfe". Was Du in einem Forum bekommen kannst hast Du bekommen.

      Jörg Reinholz

      1. Was jetzt getan werden MUSS.

        (Warnung: Diese Liste erhebt KEINEN Anspruch auf Vollständigkeit und ist auch NICHT universell)

        1. Daten exportieren. Sicherere auch alle Grafiken! (und sieh dabei nach, ob es WIRKLICH Grafiken sind!)

        2. SPÄTESTENS JETZT DIE SEITE VON NETZ NEHMEN.

        3. In der Datenbank (nicht in der Wordpress-Administrationsoberfläche!) untersuchen, ob weitere Accounts für die Wordpressadministration hinzugefügt wurden. Die sind natürlich natürlich zu löschen!

        4. Datenbank nochmals sichern (Stichwort: dump)

        5. Datenbank leeren.

        6. Verzeichnis des Webauftritts KOMPLETT leeren. Achte auf versteckte Dateien.

        7. Wordpress komplett neu installieren. (Aktuelle Version!) Auf alle nicht UNBEDINGT(SIC!) nötigen Plugins verzichten.

        8. Durchsuche alle Daten des Exports nach 'ow.ly/mvxwF'. Es kann aber auch verdunkelt (z.B.

        header(str_rot13 ('uggc://bj.yl/zikjS'));

        ) sein. Es gibt wahrscheinlich mehrere Milliarden Möglichkeiten wie das dann aussehen kann. Deshalb viel Spaß dabei. Was zu tun ist hängt davon ab, was ggf. noch gefunden wurde.

        9. Daten zurück importieren. Grafiken zurück sichern.

        10. UNBEDINGT das Administrationsverzeichnis ('../wp-admin/') von Wordpress zusätzlich mit einem anderen Passwort schützen!

        11. Seite veröffentlichen. Prüfen UND BEOBACHTEN ob Auffälligkeiten bestehen.

        12. Künftig sehr genau darauf achten, ob eine Angreifbarkeit von Wordpress und/oder der WOMÖGLICH TROTZ ALLER WARNUNGEN immer noch verwendeten Plugins gemeldet wird. Updates dann schnellstmöglich installieren.

        13. GENAU ÜBERLEGEN: Muss es denn für die 4 Seiten das häufig erfolgreich angegriffene Wordpress sein?

        Jörg Reinholz