RSS | Impressum | Sitemap |
Profi-Ranking Suchmaschinenoptimierung

SEO Marketing Blog

.... googeln bis der Arzt kommt

Mal wieder ein Kunden-Wordpress gehackt – diesmal mit freundlicher Mitteilung von Google, dass es typischerweise ein Dritter war ;-)

Entfernung aus dem Google Index

Mist, hoffte erst noch kurz es wäre eine Spam-Mail mit dem Betreff “Entfernung aus dem Google Index”, leider ist sie allerdings echt gewesen. Gerade hat mir ein Kunde eine Mail von Google an ihn geschickt, in der die Sperrung seines Firmen-Blogs angekündigt ist :-(

Habe diese Form der wirklich konkreten Kommunikation von Google bisher noch nicht erleben müssen – ist allerdings an sich ganz hilfreich so & auch für den Kunden nachvollziehbar. Hier einige Auszüge daraus:

Beim Indizieren Ihrer Webseiten mussten wir feststellen, dass auf einigen Ihrer Seiten Techniken angewendet werden, die nicht unseren Richtlinien für Webmaster entsprechen. Diese Richtlinien finden Sie unter http://www.google.com/support/webmasters/bin/answer.py?answer=35769&hl=de. Offenbar wurde Ihre Website von Dritten geändert. Typischerweise erhalten diese über ein unsicheres Verzeichnis ohne Zugriffsbeschränkung Zugang zu Ihren Seiten. So können Dateien hochgeladen oder vorhandene Dateien geändert werden. Diese erscheinen dann in unserem Index als Spam.

Nachfolgend einige Beispiele des verborgenen Textes, den wir auf http://beispieldomain.de/ gefunden haben:
pets on planes! innova cat food klm taking pets narcissists and pets; purinas beneful “ship live pets” pikas as pets pet toys and supplies importing pets cumbria classified pets directory canidae dogfood gooby for pets castlemere pets dishes carpet cleaning

Wir haben vorübergehend einige Ihrer Webseiten aus unseren Suchergebnissen ausgeschlossen, um die Qualität unserer Suchmaschine zu gewährleisten. Derzeit ist geplant, Webseiten von beispieldomain.de für mindestens 30 Tage zu entfernen.
Wir würden Ihre Seiten gern im Google-Index beibehalten. Wenn Sie wieder aufgenommen werden möchten, korrigieren oder entfernen Sie bitte alle Seiten (dies könnten mehr sein als die angegebenen Beispiele), die gegen unsere Richtlinien für Webmaster verstoßen.

Irgendwie mal ne wirklich konkrete & hilfreiche Ansage von Google, sowie neutrale Darstellung der Dinge. Ein kurzer Blick in den Quelltext des Blogs hat auch gleich die fraglichen aufgelisteten Keys samt entsprechender Links auf eine Spam-Domain mit Namen 1350736038.info zu Tage gebracht. Das alles in einem versteckten Div, welches im Quelltext wie folgt bezeichnet ist:

< !-- bablooO-start -->dazwischen eben das Div mit ca. 100 versteckten Links< !-- bablooO-end -->

Diese Spam-Divs sind seitenweit im Blog eingefügt. Habe mich dann mal spontan dran gemacht & bin auf Fehlersuche gegangen. Bei dem offensichtlich gehackten Blog (oder doch Server?) handelte es sich um ein WordPress 2.7. Ergo erstmal mit dem deutschen Upgrade Paket der Austauschdateien auf Version 2.7.1 geupgradet. Hat zwar reibungslos geklappt – wie erwartet waren die Spam-Links immer noch vorhanden :-(

Dann auf sicher auch kurz die Datenbank durchsucht, falls die Spam-Inhalte dort abgelegt wurden – auch nix :-(

Da ich keine Idee hatte, wie der Angreifer seinen Spam platziert hat, habe ich angefangen einige einzelne Dateien des Themes nach entsprechenden Einträgen/Aufrufen zu durchsuchen. Und siehe da – in der footer.php war das Spam-DIV platziert. Wie es da hingekommen ist, ist mir immer noch schleierhaft – die Ordnerrechte auf dem Web waren zumindest korrekt gesetzt?

Hat jemand ne Ahnung wie die Spammer an die footer.php gekommen sein können?

Abschließend wurde noch der reconsideration request bei Google gestellt & nun heißt es abwarten. Bisher scheinen noch alle Unterseiten normal gelistet zu werden, vielleicht hat mein Kunde ja Glück & Google reagiert auf unsere schnelle Aktion auch entsprechend schnell ;-)

Update 12 Stunden später: Jetzt ist der Blog bei der Site-Abfrage leider nicht mehr zu finden – mal schauen wie lange es dauert bis er wieder drin ist :-(

Nachtrag: Nach den Hoax Mails Mitte 2007 zum Thema “Entfernung aus dem Google Index” ist das für mich das erste Mal, dass ich überhaupt wieder von derartigen Mails von Google gehört habe. Die Googler hatten das damals aufgrund der Spam-Mails (wenn ich mich richtig erinnere) glaub sogar offiziell eingestellt. Schön bei der oben angesprochenen Mail zur Entfernung ist, dass man (zumindest wenn man nen Google Webmaster Tools Account für die Domain hat) diese dort verifizieren kann. Daher wusste ich auch sicher, dass es keine Spam-Mail war …

Update nochmal 12 Stunden später: Wow, da war das Search Quuality Team aber mal richtig schnell – seit heute ist der Blog wieder im Index & auf seinen alten Positionen!
Ergo: bei direkter Reaktion eines von Google angeschriebenen Webmasters kann das Penalty-Thema in 24h erledigt sein. Hut ab, das ist wirklich mal schnell & fair von Google, da kaum ein Blogger etwas dafür kann,wenn sein Blog-System/Theme gehackt wurde um darüber zu spammen ;-)


Andere Beiträge mit ähnlichen Inhalten, die Dich evtl. auch interessieren könnten:


Der Artikel " Entfernung aus dem Google Index " enthält 692 Wörter.

Artikel mit verwandten Tags (Keywords, Suchbegriffe)
Tags: , , , ,


Am 04.06.09, 00:00 in Danke für ... undTraurig, aber wahr ...
von Frank veröffentlicht. RSS Feed für Kommentare.
Du kannst hier kommentieren oder hier per Trackback
von Deinem Blog aus "verewigen".
· Gelesen: 10545 · heute: 5


27 Kommentare zu "Entfernung aus dem Google Index"

  • 1. Tom

    Hast du den Server halbwegs abgesichert? Regelm. Updates? Hast du den Server noch auf den Standard-Ports liegen(FTP/SSH)?

    gruß

  • Ich habe diese Erfahrung mit der Post von Google. Vermutlich kannst du davon ausgehen, dass die Seite maximal ein paar Tage aus dem Index verschwindet (das macht Google schon aus Prinzip), du die Seite aber schneller als nach Ablauf der angekündigten 30 Tage wieder gelistet sehen wirst.

    So war´s bei mir. Schon zweimal ;-)

    Und: Kein Einfluss auf´s Ranking

  • […] Wie ich sehe, bin ich nicht der einzige:Entfernung aus dem Google-Index. […]

  • Ich tippe auf die Server-Sicherheitslücke “Register_globals=on”. Einfach mal ne Datei mit der Bezeichnung php.ini erstellen und folgendem Inhalt:

    Diese Datei dann aufrufen und prüfen, ob der Wert für Register_globals auf “off” steht. Wenn nicht, dann unbedingt machen, da sich über diese Lücke Spammer und Hacker in php-basierende Sites reinhacken können.

    So sind die Spammer meiner Meinung nach an die footer.php und alles potentiell andere innerhalb der Webseite ran gekommen. Würde sicherheitshalber alle Verzeichnisse und Dateien durchgehen und am jeweiligen Datum prüfen, wo sich seit dem “Befall” was geändert hat.

    Stimmt es, oder hab ich Recht? :o)

  • Wurde ein Datenbank Backup Plugin benutzt?

    Ich konnte mal bei einem Kunden die komplette DB abgreifen, da das Plugin die Ordnerrechte nicht richtig gesetzt hatte.

    Der bug wurde gemeldet.. habe das aber nciht mehr weiter verfolgt und das Problem selber gefixt.

  • 6. Mark

    Kann mit den Ordnerrechten durchaus auch zusammenhängen.

    Habe über ein sehr ähnliches Thema (s. URL) auch schon in unserem Blog darüber geschrieben.

    Allerdings für die Verunstalter reine Zeitverschwendung, da Google das ganze ja sehr gut erkennt, wie man sieht.

  • Ich würde auch sagen das es sicherlich wg. den vergebenen Schreibrechten auf die Theme Dateien geklappt hat. Ist zwar ne ganz nette Funktion mal eben sein Theme über WordPress anzupassen aber man kann dadurch, sofern man nen Login hat oder den Login herausgekommt, eben alles anpassen. Am besten immer manuell per FTP drauf und die Schreibrechte dort ändern.

  • 8. Ole

    Die gängigen Footprint wie Generator = WordPress 2.7 oder generator = Joomla hattest du hoffentlich aus dem Header entfernt? Das machts dem Bösewicht (wenn auch nur geringfügig) schwerer das CMS hinter dem Projekt zu erkennen.

  • 9. Simon

    Ich tippe auf ein schadhaftes Plugin…

  • 10. Frank

    @ all

    Danke für eure Hinweise. Ordnerrechte sind wie gesagt ok. WP Versions-Footprint war bei dem Blog (nicht von mir installiert – jetzt isses raus ;-)) noch enthalten, schmeiße ich sonst auch immer gleich raus.

    Es wurde keine Bearbeitung von Dateien übers WP Backend eingerichtet, ein DB-Backup Plugin gab´s auch nicht.

    Php.ini werde ich gleich mal checken – was auf dem Server genau los ist, hab ich mir noch nicht angesehen, ist ein Webspace Anbieter, wo ich bisher dahingehend zumindest noch keine Sorgen hatte …

    Plugins wären auch ne denkbare Lücke – sind allerdings nur ne Handvoll sehr Verbreitete installiert.

    Heute ist der Blog übrigens leider komplett aus dem Google Index raus – mal schauen wie lange es dauert, bis er wieder drin ist …

  • Hi,
    also ich hatte das selbe Problem. Und es hat mich fast zur Verzweiflung getrieben. Ich hatte zwar nicht im Footer, aber direkt am Anfang des Bodys ca. 2000 Links zu Spamseiten.
    Nachdem ich direkt erstmal alle Plugins installiert habe, waren sie weg, schritt für schritt wieder installiert. Bis ich spammendes Plugin gefunden habe. Weg. Einen Tag später wieder da.
    Okay. Gut. Und jetzt? Ich bin dann mal auf die Idee gekommen ein paar Zeilen des spammenden Divs bei Google einzugeben und bin sehr schnell auf Hilfe gestoßen.
    (Was ich dir hiermit auch empfehle)

    Durchsuche mit einem Editor mal deine Plugins, du wirst evtl bei einigen einen ungewöhnlichen Code mit einer ungewöhnlichen HexaDezimal Zahl finden. Diesen einfach mal im Netz übersetzen lassen und du findest den Pfad zu den Störer.
    In meinem Fall war es eine zweite WordPress Installation in einen anderen Ordner. Lösche die entsprechenden Dateien und geh zur sicherheit deine Plugins durch, ob du noch mehr Hex Zahlen bekommst.
    Aber wie gesagt, dieses hat bei mir geholfen, vielleicht ist es bei dir auch was ganz anderes.

    Grüße Florenz!

  • 12. Frank

    @ Chris

    tja, der Code ist leider so nicht angekommen :-(
    Wen es interessiert, wie man heraus bekommt, ob die global.ini auf register_globals on oder off steht, der legt einfach eine z.B. test.php auf seinen Webspace, welche folgenden Inhalt hat & ruft die Datei dann auf. Die Leerzeichen vor/nach dem Fragezeichen müssen entfernt werden:

    < ?
    echo phpinfo();
    ? >

    Bei dem betroffenen Server steht register_globals übrigens sowohl als “local value” als auch als “master value” auf on. Werde auf Sicher mal den Hoster auf ne Umstellung ansprechen …

  • 13. Chris

    Hi Frank…

    …ooops, der Code wurde leider beim Senden nicht mit übertragen.

    Näheres zum Thema register_globals und dem damit verbundenen Sicherheitsrisiko findest Du hier:

    http://www.cms-sicherheit.de/module-blog-viewpub-tid-1-pid-12.html

    Beste Grüße

    chris

  • 14. Xel

    Hmm Register Globals ist natürlich schon unschön. aber ich bezweifle, dass das der Grund ist.
    Warum? wp_unregister_GLOBALS() in der wp-settings.php wird sehr früh ausgeführt und macht register globals letztlich rückgängig, falls es aktiv ist.

    Was denkbar ist:
    a) Theme hatte das irgendwie bereits drin (du schreibst ja nicht, wo das Theme her kam)
    b) ist zwar schön und gut, wenn die Rechte richtig gesetzt sind, aber wenn PHP unter dem selben Benutzer läuft, wie auch FTP, dann kann man auch einfach einen chmod machen und diesen ggf. später rückgängig machen (sofern irgend einer der dafür verwendbaren Befehle nicht verboten ist).

    Wenn wirklich jemand den Server geknackt hat – und dort root ist -, ist eh alles zu spät, aber ich bezweifle, dass derjenige sich dann die Mühe macht, für jeden Account auf dem Server zu suchen, wo er wie was anpassen muss. In so einem Fall würde ich eher über ein “Addon” für die Serversoftware sowas bei jeder Auslieferung einer Seite egal welchen Accounts anhängen. Ist weniger Arbeit. Deshalb scheidet das für mich eher aus.

    Ich würde zur Sicherheit aber dazu raten, den gesamten Blog (von den Dateien her, nicht von der Datenbank her) zu löschen, das Passwort für MySQL zu ändern, die 2.7.1 vollständig hoch zu laden, das Theme aus einer sauberen Quelle neu zu installieren (vorher prüfen, dass das da nicht auch drin ist) und die wp-config-sample.php von Hand anzupassen und als wp-config.php hoch zu laden.

    Natürlich sollten vorher sämtliche hochgeladenen Dateien wie Bilder, PDFs etc. gesichert werden. Aber nicht einfach den gesamten Ordner, sondern wirklich durchgucken, was in den Unterordnern drin ist.

    Dadurch vermeidet man den unschönen Fall, dass der “Angreifer” sich irgendwo ein Hintertürchen offen gelassen hat und dadurch nochmal schaden anrichtet. Bei WP hab ich davon zwar bislang nichts gehört, aber bei Joomla Hacks werden häufig Backdoors installiert. Teilweise sogar richtige php-Commandozeilen, über die der Angreifer später nahezu alles machen kann, was der Server php und dem ausführenden Benutzer erlaubt.

    Nachtrag:
    (wollte ich schon immer mal in nem Kommentar machen ;-) )
    Falls die Dateien von PHP beschreibbar sind – z.B. weil eben der PHP-User der gleiche ist, wie der FTP-User – würde ich auch CSRF (Cross Site Request Forgery) nicht ausschließen. Das ginge z.B. indem man einen Trackback auf einem Blog hinterlässt, auf der referenzierten Seite /anzugreifender-blog.de/wp-admin/theme-editor.php?file=/themes/Theme/footer.php als iframe einbindet, die änderungen per Javascript durchführt und dann auch per JavaScript den Submitbutten drückt. Zumindest theoretisch, ich hab nicht geprüft, ob das wirklich so simpel funktioniert, sollte aber – theoretisch ;-). “Theme” muss in der URL natürlich durch den Ordner des Themes ersetzt werden, den findet man aber im Pfad zur CSS Datei, ist insofern kein großer Aufwand, da den richtigen zu wählen…

    Funktioniert aber eben nur dann, wenn die Dinger beschreibbar sind – was aber eben der Fall sein kann, wenn entweder schlechte Berechtigungen gesetzt sind, oder aber suphp verwendet wird, mit dem jeder Webspace einen eigenen PHP-User haben kann, der dann eben häufig dem FTP User entspricht, dann reicht es schon aus, wenn dieser die Rechte hat die Datei zu beschreiben, was ja praktisch bei jedem nicht “Hyperparanoiden” (ohne das Negativ zu meinen) der Fall sein dürfte. Den Trackback den ich Anfangs erwähnt habe, braucht man übrigens nur, um die Wahrscheinlichkeit zu erhöhen, dass der Blogbetreiber auch wirklich auf die Seite geht.

    ähm ja… und wenn meine Kommentare demnächst wieder so lang werden, mach ich einfach nen Blogpost draus ;-)

  • Altbekannter WP-Wurm. Mit dem AntiVirus-Plugin für WordPress http://wpantivirus.de wäre es nicht passiert, da das Plugin genau dafür konzepiert wurde, Templates auf Injektionen zu überwachen.

  • 16. Frank

    @ Xel

    wow, wat ne Infoflut – Danke. Hattest keine richtige Lust auf arbeiten, oder wie ;-)

    War bei dem Kunden das Kubrick Default Theme von ihm selbst abgeändert. Hatte alle Dateien gelöscht & dann 2.7.1 drauf gepackt – auch mit neuem MySql PW …
    Hab dem Kunden bei der Gelegenheit nun ein schickes Thesis-Theme installiert, das sollte erstmal sicherer sein …

    Register_globals ist seit heute Mittag auch auf off & ich habe das von Sergej empfohlene Antivir Plugin mal dort installiert – bin neugierig wie es weiter geht …

    @ Sergej

    Cool, Danke Dir für den Tipp mit der in diesem Fall sehr willkommenen Eigenwerbung ;-)
    Das WPAntivirus-Plugin von Dir kannte ich noch gar nicht, Dein Antispam Bee habe ich auf 2 Blogs seit ein paar Tagen in Betrieb & bin bisher wirklich happy damit.

    Dolle Sache, was Du gerade so alles an Plugins entwickelst – freut mich, dass es auch was für die Open Source Community von Dir gibt ;-)

    Achso, haste mal nen Link zu der “altbekannter WP-Wurm” Story – war mir bisher kein Begriff …

  • 17. Markus

    Welchen Verzeichnissen im WP-Ordner sollte man denn welche Rechte geben?

  • Frank, wpSEO ist nicht das einzige Plugin von mir, das einzige kostenpflichtige ;) Sonst hab ich noch die hier: http://wp-coder.de

    Als ich den Artikel hier http://playground.ebiene.de/1530/wordpress-wurm-unterwegs/ schrieb, hab ich mich entschlossen das bereits hier in den Kommentaren erwähnte AntiVirus-Plugin zu entwickeln. Zu dem Zeitpunkt hatte ich im Netz nach Opfern gesucht und es waren erstaunlich viele Blogger, die von diesem “Virus” befallen wurden. Darauf hin entstand dann das Plugin.

    Für mich ist der Wurm insofern alt, dass es schon neue Arten aufgetaucht sind, wo ich bis jetzt nicht rausgefunden haben, wie der böswillige Code injiziert wurde. Das ist schlecht für uns Blogger, gut für Spammer. Aber das Thema ist ja noch jungfräulich, das wird schon.

  • 19. Xel

    @Markus:
    Das hängt sehr stark von deinen Präferenzen ab – also wie weit dir Sicherheit wichtig ist bzw. ab welcher Stelle Komfort wichtiger ist.

    Rein Sicherheitsfanatisch betrachtet solltest du erstmal alles nur lesbar machen (Ordner müssen auch “ausführbar” sein), also 4 für alle Dateien und 5 für alle Verzeichnisse. ABER: Ich weiß natürlich nicht, wie dein Server tickt, deswegen auch nur die eine Zahl.
    In den meisten Fällen ist es wohl so, dass der FTP-Benutzer der Besitzer der Dateien ist und PHP nicht in der selben Gruppe ist. Dann würde ich 404 und 505 empfehlen. Wenn FTP und PHP die gleichen Benutzer sind 400 und 500 und wenn sie in der selben Gruppe sind, aber unterschiedliche Benutzer 440 und 550.

    Ist aber recht unkomfortabel, da du jedesmal wenn du eine Datei ändern möchtest dort erst Schreibrechte setzen musst.
    Außerdem funktionieren dann die OneClick Updates für Themes, Plugins und WordPress selbst nicht mehr.

    Im ersten und letzten Fall ist es vertretbar dem FTP-Benutzer Schreibrechte zu geben, da wir davon ausgehen können, dass die Angriffe in den meisten Fällen über PHP stattfinden und es außerdem über FTP sowieso möglich wäre, die Berechtigungen zu ändern. Hier dann auf die Zahl einfach noch eine 2 addieren, also 4=>6 und 5=>7, also 604/704 wenn FTP-User = Besitzer der Datei und PHP-User nicht in der selben Gruppe oder 640/740 wenn der PHP User in der gleichen Gruppe.

    @Frank:
    Hat nix mit Arbeitsunlust sondern mit generellem Interesse an der Materie zu tun – auch wenn einem durchaus der Spass an der Arbeit vergehen könnte, wenn man bedenkt, dass unser Staat einen Kredit in Höhe von 60.000 Euro pro Arbeitsplatz in DE bzw. knapp die Hälfte für alle zusammen für Opel über hat (wobei ja garnicht sicher ist, wie lange die wirklich alle erhalten bleiben bzw. wie viele mit der Zeit doch noch gestrichen werden oder wie lange Opel auf die Art überlebt), unsereins aber schon ärger bekommt, wenn man mal etwas mit der Steuer in Verzug kommt…

    @Sergej:
    Naja, ich seh da schon nen Unterschied zwischen direktem Link-Insert im Theme und dem Einfügen von Blogroll Links. Was natürlich nichts daran ändert, dass dein Plugin das bestimmt mitgekriegt hätte. War mir aber auch neu (das Plugin) werd ich mir die Tage bei Gelegenheit mal anschauen. Genau wie auch das Antispam Bee – vor allem, weil mich natürlich interessiert, wie es arbeitet (nein, nicht um es zu umgehen, aber ich weiß gerne, was die installierte Software tut ;-))

  • 20. Frank

    @ Xel

    Danke für die Erläuterung zu den Ordnerrechten ;-)

  • Morgen -> hatte bei einem meiner Blogs ein ähnliches Problem.. aber ohne Kommunikation von Google, sondern “nur” schlechteren Rankings und public ads statt der richtigen Anzeigen.. -> Problem war hier das Live-Search Plugin bzw. ein anderes Theme das noch herumgelegen ist.

    Danke auch für die vielen Tipps hier.

  • Interessant … könnte man sich nicht “einfach” Zugriff auf den FTP per Bruteforce und Proxyrotator verschaffen und die entsprechende Datei, in der Links positioniert werden sollen so manipulieren? Daran hatte ich beim Lesen zu erst gedacht …

  • 23. Xel

    @Pandora: Man kann vieles, die Frage ist nur immer, in welchem Verhältnis Aufwand und Ertrag stehen.

    Um einen FTP per Brute Force zu knacken, braucht man – wenns gut läuft – ein paar Stunden. Um über eine vorhandene Sicherheitslücke in das System ein zu dringen und die Datei zu manipulieren, braucht man weniger als ne Minute.

    Diejenigen haben es ja selten speziell auf einen Blog abgesehen, sondern wollen viele erwischen.

  • Vielleicht hätte in diesem speziellen Fall das AntiVirus-Plugin für WordPress geholfen, das WP-Themes überprüft.

  • 25. Alex

    Vielleicht noch ein kleiner Beitrag für die, die es noch nie mit der Sperrung erwischt hat.
    Google schreibt eine eMail, die auch in dem Google Webmastertool zu finden ist (etwas versteckt auf der Startseite rechts).
    Nachdem man die Fehler beseitig hat, sollte man eine freundliche Email (über das Tool) zurücksenden. In der Regel wird man innerhalb von 36 wieder freigeschaltet.

  • 26. Peter

    Danke für die guten Tips.Danach habe ich schon lange gesucht.
    Grüße aus München

  • 27. Rosa

    sehr gute Sache das Plug-in. Es gibt zwar ein kostenloses welches ähnlich ist, aber irgendwie komme ich damit icht klar…


Deine Ideen zum Artikel: Entfernung aus dem Google Index

"Namen" wie "Suchmaschinenoptimierung, Reisen, Datenrettung etc." sind unerwünscht - ebenso die Verlinkung auf rein kommerzielle Projekte!
Derartige Verlinkungen werden mit Nofollow versehen, bzw. Kommentare werden entfernt. Kommentar-Links auf themennahe SEO, SEM, Marketing & Webmaster Blogs sind ok
Immer Nofollow gibt es für Blogger, die Nofollow-Links verteilen ;-)

Kommerzielle Werbung in Kommentaren ist diesem SEO Blog nicht erwünscht!


Entspannen Sie ... wir kümmern uns darum!
Profitieren auch Sie von unserem Google Ranking Know-How!
» Profi Ranking - Suchmaschinenoptimierung «