Gehackter Content im google Cache - wie geht das?
Tach zusammen.
Eine von mir betreute Seite wird über den bei google angezeigten Suchergebnis-Link korrekt und ohne Fehler aufgerufen.
Ruft man dieselbe Seite allerdings aus dem google-Cache auf, ist die Seite gespickt mit Links zu diversen Pornoseiten.
Ist das ein Problem von bzw. bei google? Oder wie geht das? Die Seite ist ja nicht im eigentlichen Sinne gehackt. Der Content in der DB ist unangetastet.
Die Pornolinks tauchen leider auch in der Description beim Google-Link auf, weil dummerweise für die Seite keine meta description existierte.
Beim nächsten Crawling durch google hat sich das erledigt, aber ich würde trotzdem gerne wissen, wie so was geht bzw. wie man das verhindern kann.
Wünsche allen einen schönen Tag,
Carsten
akzeptierte Antworten
Gehackter Content im google Cache - wie geht das?
dedlfix
Bewertung: +4, 4 Stimmen
Gehackter Content im google Cache - wie geht das?
Bewertung: keine Bewertung
Gehackter Content im google Cache - wie geht das?
Henry
Bewertung: keine Bewertung
-
Tach!
Ruft man dieselbe Seite allerdings aus dem google-Cache auf, ist die Seite gespickt mit Links zu diversen Pornoseiten.
Ist das ein Problem von bzw. bei google?
Davon würde ich nicht ausgehen.
Oder wie geht das? Die Seite ist ja nicht im eigentlichen Sinne gehackt. Der Content in der DB ist unangetastet.
Ich würde eher davon ausgehen, dass die Seite selbst gehackt wurde, und an eine oder mehrere der Dateien der Müll angehängt wurde.
Die Pornolinks tauchen leider auch in der Description beim Google-Link auf, weil dummerweise für die Seite keine meta description existierte.
Beim nächsten Crawling durch google hat sich das erledigt, aber ich würde trotzdem gerne wissen, wie so was geht bzw. wie man das verhindern kann.
Möglicherweise ist der Müll durch ein Update auf eine neuere Version verschwunden, weil die betroffene(n) Datei(en) überschrieben wurde(n). Es kann aber auch sein, dass er immer noch da ist, auch in Form zusätzlicher Dateien. Angreifer wollen gern, dass ihr Code nicht entdeckt wird und verschleiern ihn mit einer ganzen Menge an Maßnahmen. Und fallen gerade deswegen auf, weil sie sich vom restlichen Code unterscheiden, der im Klartext vorliegt.
Verhindern kann man das nicht vollständig, besonders nicht, wenn man Fremdsoftware verwendet oder zu einfaches Passwort. Aber erkennen kann man sowas, wenn man Änderungen in Dateien erkennen kann. Auf gemietetem Webspace hat man schlecht Karten, weil man da Programme wie AIDE (Advanced Intrusion Detection Environment) nicht laufen lassen kann. Auf Servern hingegen kann man damit Änderungen aufzeigen und dann untersuchen. Auch die Login-Seite zusätzlich noch einmal mit einer HTTP-Authentication (.htaccess) zu schützen ist ein gutes Mittel, um ein paar Bots fernzuhalten, die das nicht erwarten. Andere Intrusion Detection Systeme (zum Beispiel Fail2Ban) können auch die Chancen der Angreifer herabsetzen.
dedlfix.
-
Hallo dedlfix
Möglicherweise ist der Müll durch ein Update auf eine neuere Version verschwunden, weil die betroffene(n) Datei(en) überschrieben wurde(n). Es kann aber auch sein, dass er immer noch da ist, auch in Form zusätzlicher Dateien.
Der Content ist nicht durch ein Backup wiederhergestellt worden und wurde auch nicht verändert. Und selbst, wenn versteckter Code vorhanden sein sollte, dann müssten die Pornolinks doch permanent auftauchen.
Hinsichtlich sämtlicher Zugänge zum Code, sowohl per CMS also auch per (S)FPT, MySQL, SSH und Provider-Account: Jedes Passwort ist länger als 15 Zeichen und besteht aus einem Wirrwar an Zeichen, ähnlich "j(ls_4612!--234j09s4l,?", verwaltet durch einen lediglich lokal verfügbaren Passwort-Manager. Da fühle ich mich "relativ" sicher. Aber natürlich könnte einer unbemerkt in mein Büro eingebrochen sein, meinen Rechner gehackt haben, alle Spuren beseitigt haben, usw., aber echt jetzt?
Aber scheinbar tauchen die Veränderungen ausschließlich in der google-Cache-Version auf.
Mein Provider hat auf mein Bestreben hin nach kompromittierten bzw. neuen Dateien mit Schadcode gesucht. Er hat zwar auffällige Stellen gefunden, die aber nicht im Zusammenhang mit dem jetzt aufgetretenen Effekt zu sehen sind. Dafür sind diese Dateien auch schon zu lange unangetastet im System.
So, aber mal angenommen, da läge tatsächlich eine Datei auf dem Server, die - per URL-Eingabe aktiviert - die Ausgabe des Contents manipuliert, dann findet die Änderung doch nur beim Aufrufer statt, oder nicht? Wäre die Manipulation permanent, müsste ich sie doch hinterher im Quellcode bzw. in den DB-Contents wiederfinden. Da ist aber nichts.
Wenn also die Manipulation im google-Cache auftaucht, dann müsste doch der google-Bot die Seite mit Manipulationsdaten "gefüttert" haben.
Eine andere Erklärung sehe ich nicht. Aber vielleicht machst Du mich ja noch "weitsichtiger"? 😉
Gruß, Carsten
-
Hallo Codeaufräumer,
Eine andere Erklärung sehe ich nicht. Aber vielleicht machst Du mich ja noch "weitsichtiger"? 😉
Ich hatte mal einen ähnlichen Fall, da stellte sich allerdings heraus, dass es gar nicht Google war, sondern eine Phishing/Fake Seite. Daher mal eine Frage. Hast du dieses Phänomen nur an einem bestimmten PC erlebt oder auf mehreren(nicht vernetzten)?
Gruss
Henry-
Hallo Henry,
Hast du dieses Phänomen nur an einem bestimmten PC erlebt oder auf mehreren(nicht vernetzten)?
auf mehreren - nicht vernetzt.
Habe es gerade noch einmal getestet.
Gruß, Carsten
-
Hallo Codeaufräumer,
auf mehreren - nicht vernetzt.
Habe es gerade noch einmal getestet.
habe das unvollständig gefragt. Mit nicht vernetzt meine ich auch, nicht mal das gleiche WLAN. Aber da dein Betreiber ja auch auf Fehlersuche ist, vermute ich mal er hat das auch an seinem(unabhängigen) System gesehen? Dann wüsste ich jetzt auch keine Lösung, da du ja logischerweise den Link hier nicht posten kannst und somit eine Fehlersuche schwierig ist, weil zu viele mögliche Ursachen. Eines vielleicht noch... Wenn du, wie pl schon sagt, dir das Datum anschaust, schau mal ob eine zeitgleiche Version bei Archive.org vorliegt und was diese zeigt.
Gruss
Henry
-
-
-
Tach!
Jedes Passwort ist [...]
... nicht die einzige Möglichkeit in ein System einzudringen.
Aber scheinbar tauchen die Veränderungen ausschließlich in der google-Cache-Version auf.
Ja, aber vielleicht auch nur scheinbar.
Mein Provider hat auf mein Bestreben hin nach kompromittierten bzw. neuen Dateien mit Schadcode gesucht. Er hat zwar auffällige Stellen gefunden, die aber nicht im Zusammenhang mit dem jetzt aufgetretenen Effekt zu sehen sind. Dafür sind diese Dateien auch schon zu lange unangetastet im System.
Solange man keine Prüfsummen bildet und die vergleicht, haben andere Merkmale keine Aussagekraft. "Lange" heißt wohl, dass das Dateidatum angeschaut wurde, aber das ist beliebig änderbar.
Wäre die Manipulation permanent, müsste ich sie doch hinterher im Quellcode bzw. in den DB-Contents wiederfinden. Da ist aber nichts.
Entweder kennst du den Code genau, der vorhanden sein müsste und kannst Änderungen erkennen, oder du vergleichst Prüfsummen von einem als sauber angenommenen Stand mit dem aktuellen. Ansonsten heißt "nichts gesehen" nicht unbedingt, dass da wirklich nichts da ist. Ein beliebtes Spielchen ist, den Code erst nach vielen Leerzeichen beginnen zu lassen, so dass er in einem Editor, der keinen Zeilenumbruch aktiviert hat, nicht mehr im sichtbaren Bereich ist.
Wenn also die Manipulation im google-Cache auftaucht, dann müsste doch der google-Bot die Seite mit Manipulationsdaten "gefüttert" haben.
Eine andere Erklärung sehe ich nicht.
Ich halte es für sehr unwahrscheinlich, dass der Googlebot einen solchen Kardinalfehler hat, auf den sich die Presse noch nicht mit Wonne gestürzt hätte. Auch dass deine Seite die erste oder einzige sein soll, halte ich ebenfalls nicht für sehr wahrscheinlich.
Genaueres kann ich natürlich nicht sagen, dazu reicht das Berichten über die Symptome nicht, um sich ein genaues Bild zu machen. Ich kann dir nur meine Erfahrungen der allgemeinen Art und die von ähnlichen Fällen weitergeben.
dedlfix.
-
Wenn also die Manipulation im google-Cache auftaucht, dann müsste doch der google-Bot die Seite mit Manipulationsdaten "gefüttert" haben.
Ich halte es für sehr unwahrscheinlich, dass der Googlebot einen solchen Kardinalfehler hat, auf den sich die Presse noch nicht mit Wonne gestürzt hätte. Auch dass deine Seite die erste oder einzige sein soll, halte ich ebenfalls nicht für sehr wahrscheinlich.
Man sollte auch noch folgendes vergleichen:
- "Google Cache" auf der Suchseite
- "Abruf wie durch Google" in der Webmasterconsole im Panel Crawling.
Aber letzten Endes kommt man wohl nicht ohne HMACS über alle ausführbare Dateien aus.
-
-
FTP ist unsicher. Du überträgst die Daten samt Passwort im Klartext.
-
-
-
Tach zusammen.
Eine von mir betreute Seite wird über den bei google angezeigten Suchergebnis-Link korrekt und ohne Fehler aufgerufen.
Ruft man dieselbe Seite allerdings aus dem google-Cache auf, ist die Seite gespickt mit Links zu diversen Pornoseiten.
In google eingegeben cache:example.org/index.html verrät Dir das Datum:
Dies ist der Cache von Google von https://www.example.com/. Es handelt sich dabei um ein Abbild der Seite, wie diese am 6. März 2018 02:04:57 GMT angezeigt wurde.
Das könnte bei einer Fehlersuche behilflich sein. MfG
-
Hallo pl,
Genau diese Info erhält man auch, wenn man beim Suchergebnis rechts neben dem Link das kleine grüne Dreieck ("Im Cache") bemüht.
Bei "meiner" Seite ist das Abbild vom 4.3.18 20:44
Gruß, Carsten
-
Moin,
intereressant wäre noch die Frage ob die Inhalte der betroffenen Seiten komplett ausgetauscht wurden oder nur zum Teil (Links eingebaut). Darin zeigt sich nämlich das wie der Hacker eingedrungen ist.
MfG
-
-
-
Bindet die Seite externe Ressourcen (js, css, Bilder, Schriften) ein?
-
Du hast aber nich CuteFTP von meiner AppzSite geladen, wa? Da haben wir nämlich was eingebaut, dass wir eure Host/Passwortlisten bekommen xD
Aber nun mal ohne Scherz... Aus meiner Erfahrung empfiehlt es sich, das FTP Programm auf dem aktuellsten Stand zu halten und ein möglichst sicheres solches zu verwenden (z.B. WinSCP mit MasterPW oder ähnliches).
EDIT: Link entfernt. -- Matthias
-
am besten FTP GAR nicht mehr verwenden.
-
am besten FTP GAR nicht mehr verwenden.
Nun. Mit FTP kann man bei den heutigen Frameworks nicht einfach so Inhalte austauschen deren Auslieferung auch von der Serverkonfiguration abhängig ist. Man kann höchstens die .htaccess löschen und damit eine komplett andere Serverkonfiguration erzwingen was sich jedoch unmittelbar und sichtbar auswirken würde.
.
-
-
-
Darf ich fragen, um was für eine Software es sich handelt? Joomla oder sowas?
Relativ sicher ist: der Pornkram IST bzw. WAR auf deiner Page zu finden, als der Googlebot den Cache erstellt hat. Andere Szenarien sind zu unwahrscheinlich.
Hast du den Quellcode/Datenbanken/Medien schonmal auf malicious code gescannt?
grüße gleiter