Karl Heinz: Klick auf Google SERPS - Browser leitet auch dubiose Seite um - Ursache vestehen

Hallo,

ich nutze Mint 17.3 Cinnamon.

Suche ich über die Google Suche nach „gute gründe frankfurt“ und klicke auf den ersten Link, so wird nicht die Seite „www.gutegruende-design.de“ aufgerufen sondern stattdessen, die Seite „http://app2048.it-is-our-prize72.loan“. Die seltsame Umleitung passiert nur auf meinem Rechner, auf anderen Rechnern wird „www.gutegruende-design.de“ einwandfrei aufgerufen.

Das passiert sowohl beim Firefox als auch beim Chrome.

Als Ursache hatte ich den Browser auf dem Schirm. Deshalb bin ich schrittweise her gegangen und habe die im Browser gespeicherten Daten gelöscht:

  • Angefangen habe ich mit den Cookies. Das Löschen der Cookies zeigte keine Auswirkungen, die seltsame Umleitung blieb nach wie vor bestehen.
  • Im zweiten Schritt habe ich den Cache gelöscht. Nach dem Löschen des Caches war die seltsame Umleitung wie von Geisterhand verschwunden.

Den Cache als Ursache für die Umleitung habe ich identifiziert. Nachvollziehen kann ich allerdings nicht was hier passiert ist. Wie kann der Cache dafür verantwortlich sein das von „www.gutegruende-design.de“ auf „http://app2048.it-is-our-prize72.loan“ umgeleitet wurde.

Viele Grüße

--
"Die Deutsche Rechtschreibung ist Freeware, sprich, du kannst sie kostenlos nutzen. Allerdings ist sie nicht Open Source, d.h. du darfst sie nicht verändern oder in veränderter Form veröffentlichen."
  1. Hallo Karl,

    wäre es Windows oder ein Handy, würde ich auf einen Trojaner tippen, der sich im Browser eingehängt hat und deine Seitenaufrufe umleitet.

    Dass die Burschen mittlerweile auch in Linux ihr Unwesen treiben, ist natürlich nicht auszuschließen.

    Es passiert mir auf meinem Handy regelmäßig, dass ich beim Aufrufen von Seiten nach ein paar Sekunden weggerissen werde und mir einen supertollen Gewinn abholen darf. Das sind keine allzu obskuren Seiten, ich bekomme von codeproject regelmäßig News und die verlinken dann auf ihre Quellen. Wenn ich diese supertolle Gewinnseite mit Gewalt geschlossen und den Artikel neu aufgerufen habe, ist meistens Ruhe. Meine Hypothese ist, dass hier Werbetreibende Scripte einsteuern, die einen Redirect auf die supertolle Gewinnseite erzwingen.

    Bei gutegründe würde ich das eigentlich ausschließen, weil die keine Werbung auf ihrer Seite haben. Das ist Wordpress, mit jQuery 1.11 via Google CDN, sowie leaflet.js und typekit.net. Ich habe keine Ahnung, ob man Dir über DNS-spoofing oder ähnliche Bosheiten gefälschte Versionen dieser Libraries unterschieben könnte.

    Hast Du schon überprüft, ob Du ein obskures Plugin im Browser hast?

    Rolf

    --
    sumpsi - posui - clusi
    1. @@Rolf,

      wäre es Windows oder ein Handy, würde ich auf einen Trojaner tippen, der sich im Browser eingehängt hat und deine Seitenaufrufe umleitet.

      Einen Trojaner könnte man aber doch nicht beseitigen indem man den Cache löscht, demnach würde ich nicht auf einen Trojaner tippen.

      Dass die Burschen mittlerweile auch in Linux ihr Unwesen treiben, ist natürlich nicht auszuschließen.

      Das heißt vorbei die Zeit in der man in Linux KEINE Virenscanner brauchte?

      Ich habe keine Ahnung, ob man Dir über DNS-spoofing oder ähnliche Bosheiten gefälschte Versionen dieser Libraries unterschieben könnte.

      Angenommen die Ursache war tatsächlich DNS-spoofing, dann hat mir der DNS-Server die falsche IP zurückgeliefert. Dann hätte allerdings auch für andere Rechner die falsche IP zurückgeliefert werden müssen und nicht nur für meinen Rechner oder verstehe ich das falsch?

      Hast Du schon überprüft, ob Du ein obskures Plugin im Browser hast?

      Ja, da sind nur Plugins die ich installiert habe, außerdem trat der Fehler auch dann auf wenn ich Firefox mit deaktivierten Add-ons gestartet habe.

      1. Hallo Karl grhansolo@www.linuxmintusers.de,

        die entscheidende Frage ist ja, wie der pöse Purche[1] in deinen Cache gekommen ist. Entweder durch Unwesen auf deiner Maschine, oder tatsächlich das, was TomS meinte:

        Dein Link führt zu einer Seite, die anscheinend mit dem CMS von WordPress erstellt wurde. WP hatte in jüngster Zeit einige schwerwiegende Sicherheitslücken; das könnte (muss aber nicht) der Grund für die Probleme sein.

        Vielleicht schießt jemand auf die Kollegen, und sie rekonstruieren regelmäßig die Trümmer. Und Du hast in dem Moment den Abruf gemacht, als es gerade kaputt war.

        Den hier hab ich übrigens noch in einem Google Hilfeforum gefunden; die tippen auf das Gleiche.

        Rolf

        --
        sumpsi - posui - clusi

        1. Ich wollte ja schon wabid wediwect schreiben, aber wer hätte es verstanden? ↩︎

        1. @@Rolf,

          die entscheidende Frage ist ja, wie der pöse Purche[^1] in deinen Cache gekommen ist.

          Genau das ist die Frage die mich unruhig macht. Nehmen wir an mein Rechner ist die Schwachstelle, wie kann ich sicherstellen, dass mir hier keiner bei der täglichen Arbeit zusieht und meine Passwörter fleißig speichert?

  2. Wie kann der Cache dafür verantwortlich sein das von „www.gutegruende-design.de“ auf „http://app2048.it-is-our-prize72.loan“ umgeleitet wurde.

    A 301 response is cacheable by default