Blog gehackt und Liebesentzug durch Google
Tja eigentlich habe ich Urlaub, aber leider ist der Blog gehackt und fliegt nun konstant bei Google raus. Macht nix, sowieso kein Wetter für den Garten. Wird also stattdessen im Blog gejätet. Aber was ist genau passiert?
Eine Batterie an Links, die im Quelltext des Blogs sichtbar waren, versaute den Blog mit Spam-Links für Seiten, die man
sich nicht im Büro ansieht. Für den Leser waren die Links unsichtbar, für Google aber sichtbar. Googlemag sowas gar nicht, straft es beizeiten ab – beim betroffenen Blog, nicht bei den SEO-Schlampen.
Nach einer Warnung von Jan stellte sich heraus, dass diese Spam-Links bei Wordpress im Footer abgelegt waren. Also raus mit dem Spam. Nur die Sicherheitslücke ist im Moment scheinbar immer noch da. Also leidet der Blog derzeit unter immer wieder neuer Infektion mit Spam-Links und wird von Google abgestraft.
Google mag solche Spam-Links gar nicht. Kickt uns deswegen, vielleicht noch nicht völlig aus dem Index, aber schon mal aus der Suche heraus. Beispiel: “Off the record” stand bei der deutschsprachigen Google-Suche bislang auf Platz 1., samt 
Lovelinks. Nun sind wir irgendwo im Nirvana, wenn überhaupt. Mit anderen Keywords ist es ähnlich.
Dafür tauchte OTR dann bei Google in solch einem Umfeld auf – siehe Abbildung.
Unklar ist noch, ob die Seuche über ein Plugin oder einen direkten Hack ins Haus kommt.
Habt ihr einen Tipp?
Was solltet ihr tun, um euren Blog zu checken?
Die Frage ist leicht zu beantworten:
Suchebegriffe in der Wordpress-Admin checken. Wenn etwas ungewöhnliches dabei ist, das nicht zu eurem Content passt, ist es verdächtig.
Quelltext checken, ob verdächtige Links zu finden sind. Zumeist im unteren Bereich.
Hilfreich auch: Ein brauchbares Firefox-Plugin um CSS und anderes anzuzeigen.
Was sollten wir tun?
Zusammengesucht aus dem Web habe ich folgende Lösungen:
Wordpress updaten, wir sind *ähem* ein paar updates zurück.
Passwörter ändern.
Hm? kann man die Plugins irgendwie checken?
Das wärs fürs erste. Oder?
Wir bloggen natürlich weiter. Treue Leser finden uns ja auch ohne Google.
PS: Gute Nachrichten gibts aber auch: habe dem Blog endlich ein Favicon für IE und FF gebastelt.
CSS anzeigen etc. als Firefox-Addon – da kann man nur die Webdeveloper Toolbar empfehlen. – Viel Glück beim Spam-Killen. Gruß, Th.
Nunja unter den letzten WP-Updates gab es durchaus auch das ein oder andere Sicherheitsrelevante.
Mag also vll. schon ein Grund haben wenn es sich sicherheitsrelevant nett.
Nichts desto trotz ne rießen Sauerei so was. Ich wünsche viel Erfolg beim aufräumen.
Grüße Jo
… schließe mich da meinem vorredner an: wurden denn auch schön fleißig die updates eingespielt? interessiert mich auch aus eigeninteresse in punkto ranking meiner seite.
Ne, sag ich doch, wir sind ein paar updates hinterher. die version lief halt mit allen plugins stabil.
Mein Beileid!
Kurze Frage – wo genau haben die A’$!”löcher rumgewerkelt? Erschienen die Links seitenweise oder überall (index.php). Haben sie in der CSS rumgepfuscht? Gebt mir mal nen Tipp, damit ich meine eigenen Blogs durchsuchen kann…
Danke und schöne Ostern!
lg Manuel
Diese Porno-Apologeten machen wohl vor nichts halt. Als wenn das Netz nicht schon voll genug mit ihren ungefragten Beglückungen wäre. Wenigstens die Blogs könnten sie doch verschonen …
@manuel
Die Pfuscher haben die spamlinks im Footer.php abgelegt. Dort ziemlich weit unten, so dass sie auf allen seiten gewesen sein müssten. und waren auf unsichtbar eingestellt, mit dem CCS-Attribut width style=”display: none, so das die der normale leser nicht sieht. im Footer sind sie aber leicht zu entdecken. Schon anhand der masse, den während der quelltext nur ein zwei links anzeigt, sind es im footer dann gefühlt tausende.
Ah, danke. Anhand des Screens sah es so aus, dass sie einzelne Artikel infiziert hätten, und eben nur wenige links, nicht so viele auf einmal. Die Methode über den Footer habe ich schon einmal gesehen.
Drecksbande!
In diesem Zusammenhang auch interessant:
http://neun12.de/artikel-543/
Hi Olaf,
kein Thema, kann jeder Website mal passieren. Man muss sich nur zu helfen wissen: http://pc-intern.com/netgrabs-6981.html
Gruß,
Matthias
Hallo
ich glaube ich habe das gleiche Problem wie Manuel, allerdings mit slimstat. bei mir tauchen diese seltsamen links unter “Recent Recourses” auf. Verwiesen wird auf Seiten aus Rumänien. Ich wüsste gern, was das alles genau bedeutet, was es für Folgen hat und vor allem: Wie krieg ich den mIst wieder los und nie mehr rein.
Kann da jemand was genaueres dazu sagen?
Danke schon mal. Marion
Und noch einer (Trackback geht wohl auf diesen Artikel nicht mehr?)
Autsch. Mich haben auch Hacker erwischt. Es war nicht mein Blog, aber eine andere Seite. Dort haben die Hacker dann Phishing-Webseiten installiert und wenn ich Pech habe kann ich jetzt für den ganzen Schaden aufkommen. *o*
1,5 Jahre später – hab auch ich das gleiche Problem, dass meine footer.php ständig manipuliert wird.
Kaum geändert und die Linkfarm rausgeschmissen…schon wuchs die Datei innerhalb weniger Stunden wieder von 1Kb auf 20Kb an.
Wie sah bei euch die Lösung aus ?
@sven update von wordpress,
Hi,
ich schließe mich der Frage von Sven auch an. Habe genau das gleiche Problem: aber das Update von wordpresse hat leider nichts gebracht.
Weitere Ideen? Wäre sehr dankbar…