Johannes Seite korrupt?

  • Firefox:

    Ich habe den "kleinen Roboter" auf http://www.rockytrails.top gerade auch bekommen, als ich https://moellerjaner.de/ aufgerufen habe - aber jetzt beim zweiten Mal kommt die Seite von Johannes. Ich hatte die Seite vorher lange nicht besucht, daher ist die alte Version ziemlich sicher nicht aus meinem Cache gekommen.

    Auf den ersten Blick sieht der Quellcode der Webseite selbst "sauber" aus (also nicht einfach ein eingefügtes JavaScript in der Seite selbst).

    Auch nach dem Löschen aktueller Cookies komme ich ganz normal auf Johannes' Seite.

    Firefox (privates Fenster):

    Sofort originale Seite von Johannes.

    Edge:

    Sofort originale Seite von Johannes.

    Chrome:

    Sofort originale Seite von Johannes.

    Firefox vom Handy (über Mobilfunknetz):

    1. Versuch: kleiner Roboter

    2. Versuch: Seite von Johannes

    Mein Verdacht ist, dass es eine Infektion auf der Serverseite ist, wobei sich der Schadcode die IP-Adressen merkt, so dass jeder Anwender normalerweise die umgeleitetete Seite nur einmal sieht.

    Auf den ersten Blick sieht es ungefähr so aus wie hier beschrieben: https://blog.sucuri.net/2022/02/how-to…irect-hack.html

  • In dem Zusammenhang, ich habe wieder einmal anfangs Woche eine Mail von Stuckalf erhalten. Das war auch einmal ein Benutzer hier. Der ist dann plötzlich verschwunden und alle Jahre bekomme ich ein Phishing-Mail mit ihm als Absender...

  • Das ist alles gerade ziemlich blöd. Wir könnten gerade auf golem.de eine Link auf die Seite platzieren (ich bin wegen eines Podcasts zu GEOS angesprochen worden) , aber dazu muss die Seite natürlich clean sein.

    Es gibt 10 Arten von Menschen - die einen wissen was binär ist, die anderen nicht.

  • Kann jetzt den Aufwand nicht abschätzen. Aber Wordpress soll anscheinend mit Tools gut auf eine andere Instanz migrierbar sein. Es gibt ja diverse Hoster dafür. Aber alles mit Zeit und Geld verbunden.

    Klar, man sollte wissen, warum der Server gehackt werden konnte und entsprechende Vorkehrungen treffen. Bringt ja nichts, wenn die Instanz bereinigt oder gewechselt wurde, nur um über die gleiche Sicherheitslücke erneut gehackt zu werden. Leider habe ich das Wordpress-Ökosystem immer etwas nebenan liegen lassen. Man kann einfach nicht alles in die Tiefe kennen.

  • In dem Zusammenhang, ich habe wieder einmal anfangs Woche eine Mail von Stuckalf erhalten. Das war auch einmal ein Benutzer hier. Der ist dann plötzlich verschwunden und alle Jahre bekomme ich ein Phishing-Mail mit ihm als Absender...

    Andreas, das war ein ganz anderer Zusammenhang, ist hier OT. Stuckalf@.....de war der User hier, er war auch mal beim Hamburger Treffen bei mir dabei. Ich hatte dann eine Mail von stuckalf@.....com erhalten, ohne den Unterschied in der Adresse zu bemerken. stuckalf@.....com hatte dann mein komplettes Adressbuch ausgelesen und es stand im Darknet zum Verkauf. Ist zwar schon lange her, aber es scheint manchmal immer noch benutzt zu werden.

  • Was genau sollte ich jetzt machen? Ein neues anderes CMS installieren?

    Ich werde mich morgen mal mit unserem IT-Typen vom Kirchspiel treffen.

    Das ganze ist losgegangen, als GONEO https-Zertifikat-Probleme auf seinen Servern hatte und die von Hand alle wieder freischalten mussten. Wir haben dort fast 20 Domains und Seiten am Laufen und die waren alle nicht erreichbar.

  • Was genau sollte ich jetzt machen? Ein neues anderes CMS installieren?

    Theoretisch könnte man versuchen, mal die Schritte bei https://blog.sucuri.net/2022/02/how-to…irect-hack.html durchzugehen und zu sehen, ob man ob den Konfigurationsdateien oder im Thema die Infektion findet.

    Ich bin kein WP-Admin-Spezialist, aber ich würde vermuten, dass irgendeine WP-Komponente veraltet ist und eine Sicherheitslücke enthält, durch die der Angreifer ein Skript auf dem Server einfügen konnte, vielleicht sogar durch anlegen eines eigenen Admin-Accounts. Dass es gleichzeitig mit dem Zertifikatsproblem angefangen hat, kann ich mir im Moment auch nicht so ganz erklären.

    Vermutlich müsste man da mal sämtliche Updates machen, oder notfalls das WP komplett neu und aktuell aufspielen.

  • Andreas, das war ein ganz anderer Zusammenhang, ist hier OT. Stuckalf@.....de war der User hier, er war auch mal beim Hamburger Treffen bei mir dabei. Ich hatte dann eine Mail von stuckalf@.....com erhalten, ohne den Unterschied in der Adresse zu bemerken. stuckalf@.....com hatte dann mein komplettes Adressbuch ausgelesen und es stand im Darknet zum Verkauf. Ist zwar schon lange her, aber es scheint manchmal immer noch benutzt zu werden.

    Denke doch. Beide versuchen Dich auf eine bösartige Webseite zu locken...

  • Oh, sehr interessant. Erzählst du uns bitte etwas mehr?

    Das gibts nicht viel zu erzählen. Der Typ von golem.de hat mich angeschrieben, ob er mit mir über GEOS / R-BASIC reden kann. Irgendwie ist er über R-BASIC auf mich gestoßen, das Repo von Falk kannte er gar nicht. Wir haben uns dann unterhalten, wie ich zu GEOS gekommen bin, was GEOS ist und letztlich auch über R-BASIC gesprochen. Er wollte eben eine Geschichte erzählen. Ich hab die Vorteile von GEOS gebührend gelobt - hoffe ich - und nicht allzuviel Blödsinn erzählt. In den Shownotes dazu wird es Links auf github, die Infobase, Discord und mehr geben. Sobald der Podcast online ist, schreibe ich das ins Forum.
    LG
    Rainer

    Es gibt 10 Arten von Menschen - die einen wissen was binär ist, die anderen nicht.