Contao-Camp 2024
Ergebnis 1 bis 12 von 12

Thema: Google: Social-Engineering-Inhalte auf [...] erkannt

  1. #1
    Contao-Fan Avatar von Anke
    Registriert seit
    30.06.2009.
    Ort
    Rhein-Main-Gebiet
    Beiträge
    919

    Standard Google: Social-Engineering-Inhalte auf [...] erkannt

    Hallöchen,

    mir ist eben eine Warnung von Google ins Haus geflattert, dass die Seite http://djk-kanu[.]de/frankreich Social-Engineering-Inhalte enthält. Diese Seite wird von Firefox/Google blockiert.

    Die Website selbst wird auf https umgeleitet und alle regulären Seiten enden auf .html. Weder im Backend noch auf dem Server kann ich irgendwelche Änderungen oder Manipulationen erkennen.

    Hat jemand Ahnung?

    Viele Grüße,
    Anke

  2. #2
    Community-Moderator Avatar von stefan-at-work
    Registriert seit
    05.06.2009.
    Ort
    Bad Segeberg
    Beiträge
    1.779
    Partner-ID
    634

    Standard

    Hast Du die von Google empfohlenen Maßnahmen schon durchgeführt?
    https://support.google.com/webmaster.../6350487?hl=de

  3. #3
    Contao-Fan Avatar von Anke
    Registriert seit
    30.06.2009.
    Ort
    Rhein-Main-Gebiet
    Beiträge
    919

    Standard

    Hallo Stefan,

    nein, denn die Website enthält weder eingebettete noch sonstige Werbung, noch Social Media Buttons, noch ein Kontaktformular, noch sonst irgendwas, sondern lediglich Berichte vom Vereinsgeschehen (ab und zu mit Bildern) und Termine. Das Web wird nur von meiner Tochter und mir gewartet.

    Logs zeigen keine Auffälligkeiten, auch keine Logins außer von mir und meiner Tochter. Innerhalb von Contao kann ich nichts Auffälliges feststellen, auf dem Webserver ebenfalls nicht. Mir fällt nur noch ein, alle von uns eingebundenen .jpg's durch einen Virenscanner zu schicken.

    Welche Möglichkeiten gibt es denn theoretisch, eine URL wie http://meinedomain.de/frankreich zu erstellen, ohne dass diese auf https umgeleitet wird, ohne .html-Endung (und ohne dass es einen entsprechenden Alias in Contao gibt)?

    LG
    Anke

  4. #4
    Wandelndes Contao-Lexikon Avatar von tab
    Registriert seit
    22.10.2013.
    Beiträge
    10.060
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Ist noch Contao 3 oder? Gibt es vielleicht einen Unterordner frankreich? Wie sieht die .htaccess aus? Ich nehme an, einen Contao-Check hast du schon durchgeführt um die Installation zu prüfen. Welche Erweiterungen sind installiert? Auch hier würde ich mal in die Verzeichnisse reinschauen und nach zusätzlichen oder geänderten Dateien suchen.

  5. #5
    Community-Moderator Avatar von stefan-at-work
    Registriert seit
    05.06.2009.
    Ort
    Bad Segeberg
    Beiträge
    1.779
    Partner-ID
    634

    Standard

    Zitat Zitat von Anke Beitrag anzeigen
    Logs zeigen keine Auffälligkeiten, auch keine Logins außer von mir und meiner Tochter. Innerhalb von Contao kann ich nichts Auffälliges feststellen, auf dem Webserver ebenfalls nicht. Mir fällt nur noch ein, alle von uns eingebundenen .jpg's durch einen Virenscanner zu schicken.

    Welche Möglichkeiten gibt es denn theoretisch, eine URL wie http://meinedomain.de/frankreich zu erstellen, ohne dass diese auf https umgeleitet wird, ohne .html-Endung (und ohne dass es einen entsprechenden Alias in Contao gibt)?
    Na ja, z.B. könnten Deine FTP-Zugangsdaten abgegriffen worden sein. In diesem Fall siehst Du auch nichts in den Contao Logfiles?

  6. #6
    Contao-Fan Avatar von Anke
    Registriert seit
    30.06.2009.
    Ort
    Rhein-Main-Gebiet
    Beiträge
    919

    Standard

    Zitat Zitat von tab Beitrag anzeigen
    Ist noch Contao 3 oder? Gibt es vielleicht einen Unterordner frankreich? Wie sieht die .htaccess aus? Ich nehme an, einen Contao-Check hast du schon durchgeführt um die Installation zu prüfen. Welche Erweiterungen sind installiert? Auch hier würde ich mal in die Verzeichnisse reinschauen und nach zusätzlichen oder geänderten Dateien suchen.
    Ja, ist noch Contao 3.5.40 - Upgrade ist in Planung.

    Der Contao-Check ist in Ordnung.

    Ich habe das Web sowohl komplett runtergeladen und sowohl lokal als auch auf dem Server durchsucht, auch manuell wegen der Datumsangaben. Es gibt keinen Unterordner Frankreich, kein entsprechendes Redirect in der .htaccess und auch eine Inhaltssuche nach dem String "frankreich" ergab nichts Auffälliges. Zwar kommt Frankreich einige Male in den Newsartikeln vor, aber es gibt keinen Alias "frankreich" und kein Script mit dem String "frankreich".

    Auch die Datenbank habe ich exportiert und durchsucht, aber ebenfalls nichts gefunden.

    Die Contao-Logs zeigen nichts Auffälliges. Server-Access-Logs hatte ich wegen der DSGVO deaktiviert. Außerhalb des Contao-Roots gibt es ebenfalls kein Verzeichnis "frankreich" und auch sonst keine Ordner, die da nicht hingehören.

    Tja, nach geänderten Dateien suchen ... Das letzte Update habe ich am 15.5. durchgeführt, alle anderen Änderungsdaten der Dateien und Verzeichnisse sind älter (außer Cache). Davon ausgehend, dass Hacker sicher in der Lage sind, auch Datumsangaben der Dateien zu manipulieren, fällt mir als Lösung nur noch ein, die Contao-Installation komplett mit den Originaldateien zu überschreiben.

    Ich habe mal den Link "http://djk-kanu.de/frankreich" bei wheregoes.com eingegeben. Das Ergebnis lautet: "http://djk-kanu.de/frankreich 301 redirect https://djk-kanu.de/frankreich - Error tracing URL - Error Code 404 received when fetching https://djk-kanu.de/frankreich". Wenn ich die fake URL eingebe, erfolgt kein redirect auf https.

  7. #7
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    33.879
    Partner-ID
    10107

    Standard

    Einfach hier melden, dass das ein false positive ist: https://safebrowsing.google.com/safe...e%2Ffrankreich

    Der Inhalt von https://djk-kanu.de/frankreich ist einfach die normale 404 Seite von Domainfactory:
    HTML-Code:
    <html>
    <head>
    <meta http-equiv="Content-Language" content="de">
    <meta http-equiv="Content-Type" content="text/html; charset=windows-1252">
    <meta name="GENERATOR" content="Microsoft FrontPage 4.0">
    <meta name="ProgId" content="FrontPage.Editor.Document">
    <title>Sehr geehrter Besucher</title>
    </head>
    
    <body>
    
    <p><img border="0" src="http://www.domainfactory.de/pics/404.gif" alt="404 - Seite nicht gefunden" width="198" height="57"></p>
    
    <p><font color="#B5D6B1" face="Arial,Helvetia">_________________________________________________________</font><font face="Arial,Helvetia" size="2">&nbsp;<br>
    </font></p>
    <table border="0" cellspacing="0" width="515">
      <tr>
        <td width="511">
    
    <p><font face="Arial,Helvetia" size="2">Sehr geehrter Besucher,</font></p>
          <p><font face="Arial,Helvetia" size="2">leider ist ein Fehler aufgetreten:
          </font><b><font face="Arial,Helvetia" size="2">Die gew?nschte Seite wurde
          nicht gefunden.</font></b></p>
          <p><font face="Arial,Helvetia" size="2">Haben Sie sich vielleicht vertippt
          oder eine alte URL aufgerufen? Wenn nicht, informieren Sie bitte den
          Webmaster dieser Homepage per Email. Um zu der vorherigen Seite zur?ckzukehren,
          verwenden Sie bitte einfach die &quot;Zur?ck&quot; - Taste Ihres
          Browsers. </font></p>
          <p align="right">&nbsp;</td>
      </tr>
    </table>
    
    <p align="left"><font color="#B5D6B1" face="Arial,Helvetia">_________________________________________________________</font></p>
    
    </body>
    
    </html>

  8. #8
    Contao-Fan Avatar von Anke
    Registriert seit
    30.06.2009.
    Ort
    Rhein-Main-Gebiet
    Beiträge
    919

    Standard

    Zitat Zitat von Spooky Beitrag anzeigen
    Der Inhalt von https://djk-kanu.de/frankreich ist einfach die normale 404 Seite von Domainfactory:[html]<html>
    Genau. Das hatte ich auch eben gewagt festzustellen.

    Herzlichen Dank - ihr habt mir sehr geholfen!

  9. #9
    Wandelndes Contao-Lexikon Avatar von tab
    Registriert seit
    22.10.2013.
    Beiträge
    10.060
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Spannend. Wie kommt es, dass Google Safe Browsing nur auf die URL mit .../frankreich anspringt? Kann doch eigentlich nicht sein, die aufgerufene URL wird ja gar nicht ausgegeben. Und ich habe gestern versuchsweise auch mal .../deutschland eingetippt, worauf tatsächlich eine 404 Seite kam, eben die von Domainfactory. Edit: Soeben nochmal gecheckt, klappt auch immer noch. Und wenn ich nur .../fr eingebe, dann komme ich auf eine 404-Seite der Domain. Irgendwie hängt das wohl schon noch mit der Installation zusammen. Ist oder war die Installation mal mehrsprachig? Wenn man hinter der Domain einen Alias mit genau zwei Buchstaben eingibt, kommt die 404er Seite der Domain, ansonsten die von Domainfactory und nur bei /frankreich meckert Google Safe Browsing

  10. #10
    Contao-Fan Avatar von Anke
    Registriert seit
    30.06.2009.
    Ort
    Rhein-Main-Gebiet
    Beiträge
    919

    Standard

    Nein, das Web gab's immer nur auf Deutsch. Ich kann mir da auch keinen Reim drauf machen, zumal es die 404-Seite von DF ja auch zu Hauf im Web gibt. Ich habe noch mal auf dem Server geschaut, die DF-Error-Docs sind von 2014.

    Edit: Deine Versuche mit fr, de, at und xx erscheinen auch im BE-Systemlog, frankreich oder deutschland nicht ...
    Geändert von Anke (14.10.2019 um 12:59 Uhr)

  11. #11
    Administratorin Avatar von lucina
    Registriert seit
    19.06.2009.
    Ort
    Kiel (DE)
    Beiträge
    7.328
    Partner-ID
    152
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Das ist so bei Avira und u.a. auch bei Kaspersky gelistet - es mag sein, dass ein Link auf djk-kanu.de mit dem Wort Frankreich in unmittelbarer Nähe versendet worden ist, irgendein Empfänger sich davon genervt fühlte und auf "Spam" in seinem Webmailer gedrückt hat (die bauen gerne mal Links fehlerhaft zusammen), woraufhin Avira das dann fröhlich und automatisiert an die Datenbank bei Virustotal verklappt hat.

    Sowas läuft meistens automatisch ab und ist fehleranfällig. Das ist ein schmutziges Geschäft, und es gibt Tools, die - gegen Geld - in Mailserver von Unternehmen eingebunden werden können und alles verpetzen, was sie nicht klar identifizieren können. Da geht es unter anderem leider auch darum, sich selbst mit möglichst hohen Erfolgszahlen wichtig zu machen.

    Was Du tun kannst:
    - https://www.virustotal.com/gui/url/8...2419/detection
    - jeden Anbieter auf ein False Positive hinweisen

    Was Du nicht tun solltest:
    - es ignorieren, denn solche Einträge pflanzen sich gerne fort, weil viele Anbieter ihre Datenbanken untereinander austauschen.

    LG, Carolina

  12. #12
    Contao-Fan Avatar von Anke
    Registriert seit
    30.06.2009.
    Ort
    Rhein-Main-Gebiet
    Beiträge
    919

    Standard

    Vielen Dank für die Hintergrundinfos. Das klingt plausibel.

    LG
    Anke

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •