Joomla zeigt Seite mit ID und falschem alias => Google glaubt die Seite wurde gehackt

  • Hallo, Ich bin gerade über etwas gestoßen wo ich mir nicht sicher bin ob es dafür im normalen (Stable) Router von Joomla eine Lösung gibt.
    Ich weiß dass man im neue Router in Joomla 3.8.0 (wir aber ausdrücklich als Experimentel gekennzeichnet) die ID komplett deaktivieren kann, jetzt kann man diesen Router vermutlich nicht auf allen bestehenden Seiten einsetzen.


    Das Problem ist ganz einfach:
    Eine Seite mit einem Artikel hat einen Menü Eintrag für einen Einzelne Beitrag (z.B. http://demo3.joomler.net/about-us.html - Artikeln ID = 2).
    So weit so gut. Leider lässt sich dieser Artikel auch anders aufrufen z.B.: http://demo3.joomler.net/2-about-us
    Wenn es nur so wäre, dass das Ganze nur mit ID und alias funktioniert hätte ich vermutlich kein Problem damit (außer duplicate Content aber um den geht es jetzt nicht). Leider ist der alias komplett egal,
    man kann auch so was wie http://demo3.joomler.net/2-ich-bin-eine-fake-spam-url eingeben und es funktioniert.


    Jetzt wenn Google irgendwo so einen Link herbekommt, kann es passieren das diese Seite auf Grund des Namens als Gehackt markiert wird (ist real gerade passiert),
    und das sieht man dann auch im Suchergebnis von Goolge... das muss unbedingt verhindert werden.


    Habe ich irgendeine Einstellung übersehen? Kann man das in Joomla 3.x mit dem normalen Router auch verhindern?


    Vielen Dank für euer Feedback.

  • Jetzt wenn Google irgendwo so einen Link herbekommt, kann es passieren das diese Seite auf Grund des Namens als Gehackt markiert wird (ist real gerade passiert),


    Sollte das tatsächlich so der Fall sein (wo hast du das her?), dann hat Google mittlerweile komplett die Kontrolle über sein Tun verloren. Ich darf jetzt also keine Beiträge mehr schreiben, die sich mit fake und spam und Hack etc. beschäftigen, was dann auch im Alias abgebildet wird?


    PS: ich kann mich nicht erinnern das diese verhalten auch unter Joomla 2.5 so war


    Das von dir geschilderte Szenario war schon immer so. Du konntest Glück haben, dass Id 2 nicht belegt war. Dann gab es einen Fehler.


    Probier bspw. http://demo3.joomler.net/266666-ich-bin-eine-fake-spam-url

  • Ja klar, wenn es die Artikel ID nicht gibt dann erhält man eine 404 Error Page.


    Die exakten Wortlaute die Google genommen hat waren z.B.:

    Code
    1. /3-packs-of-100-tablets-online-pharmacy-uk-geriforte
    2. /4th-grade-research-paper-sample
    3. /5-geriforte-syrup-benefits-these-cookies-store-no
    4. /6-months-dissertation-bioinformatics


    Google behauptet dass hier URLs eingeschleust worden sind (Meldung in den Webmaster Tools)
    https://support.google.com/webmasters/answer/3311329?hl=de


    Angezeigt wurden aber nur die normal Seiten. HTML und JS Code ist unverändert.
    Manche dieser Seiten sind sogar im Googel Index gelandet.


    Kann sein das diese Links von der Konkurrenz in die Welt gesetzt worden sind oder von sonst irgendeiner Spam Page.
    Wenn das immer schon das normale Verhalten innerhalb von Jooma war hat Google vermutlich seine Kriterien verschärft und es kann dann jeder Joomla Seite passieren, die nicht mit Joomla 3.8+ und dem neuen Router oder einem andere SEO plugin läuft.

  • Angezeigt wurden aber nur die normal Seiten. HTML und JS Code ist unverändert.
    Manche dieser Seiten sind sogar im Googel Index gelandet.


    DIR werden nur die normalen Seiten angezeigt oder die Seiten zeigen vorübergehend normalen Inhalt, weil irgendwelche Updates installiert wurden, die zufällig den einen oder anderen Schadcode kurzzeitig eliminiert haben, während andere darauf warten, wieder ausgenutzt zu werden, sich zu vermehren.


    Es gibt ganz einfache Methoden, normalen Besuchern Hacks nicht anzuzeigen, aber da wo's wichtig ist, z.B. bei Suchmaschinen, dann eben auf solche Seiten zu leiten oder sie in dein System quasi zu integrieren.


    Schlicht und kurz: Deine Seite wurde gehackt, ist gehackt oder war mal gehackt (dann wüsstest du aber, dass sie bereinigt wurde), was rein gar nichts mit deinen Posts oben zu tun hat.


    Klar werden gelegentlich auch "Initialzünder-Links" im Netz verteilt, aber das macht ja nur Sinn, wenn deine Seite bereits infiziert ist.


    Zitat deiner verlinkten Seite:

    Zitat

    Selbst wenn sich keine Malware auf den Seiten befindet, ist das, was Sie
    im Browser sehen können, nicht immer das, was Google oder der Benutzer
    sieht, da Hacker die Spam-Seiten verbergen können, indem sie Cloaking-Techniken
    verwenden.Ihnen wird entweder nichts angezeigt werden oder die
    gewünschte Seite wird im Browser nicht gefunden (HTTP gibt den Status
    404 zurück).


    Und da fehlt halt noch "oder, je nach Hackart wird ihnen ihre Seite ganz normal angezeigt".


    Gibt eine Menge Variationen.

  • Zitat

    DIR werden nur die
    normalen Seiten angezeigt oder die Seiten zeigen vorübergehend normalen
    Inhalt, weil irgendwelche Updates installiert wurden, die zufällig den
    einen oder anderen Schadcode kurzzeitig eliminiert haben, während andere
    darauf warten, wieder ausgenutzt zu werden, sich zu vermehren.


    Ja das gibt es und ist einem anderen Kunden auch schon passiert.
    Ich habe es auch mit alternativen User Agents probiert (IPhone, IE, Chrome, FF, GoogleBot, YahooBot, usw.)
    Auch wenn man unter Google in der Search Console (früher Webmaster Tools) die Seite aufrufen lasse kommt der normale HTML Code zurück.

    Zitat

    Schlicht und kurz: Deine Seite wurde gehackt, ist gehackt oder war mal gehackt (dann wüsstest du aber, dass sie bereinigt wurde), was rein gar nichts mit deinen Posts oben zu tun hat.


    Ich habe die Seite extern (Online Scanner) und intern (Vollständiges Backup)mit Virenscanner geprüft. => Negativ
    Nachdem ich alle URLs die nicht gültig sind deaktiviert habe, und das Google gemeldet habe war die Warnung in weniger als 24h wieder weg.
    Die Seite wurde vor einem Jahr komplett neu Aufgesetzt und seitdem immer unmittelbar upgedatet.
    Aber ich habe keinerlei "Bereinigung" durchgeführt, außer dass man auf diese ungewollten Seiten nicht mehr zugreifen kann.
    Wenn die Seite also wie du sagst gehackt wurde, müsst man das irgendwo am Webspace oder in der Datenbank finden, und Google würde diesen "Hack" auch auf den anderen Seiten finden, dies scheint aber nicht der Fall zu sein.

  • Kein Virenscanner findet alles (eher umgekehrt bei Online-Geschichten), sonst hätten wir alle einen am Laufen.

    Aber ich habe keinerlei "Bereinigung" durchgeführt


    Wenn du neu aufgesetzt hast (alles platt und neu) und auch keine Schad-Dateien in Ordnern wie images o.ä. vergessen hast, die man ja gerne einfach mal rüberkopiert (und keine anderen Lücken offen gelassen hast, FTP-Zugangserschleichung und so Zeugs), ist eine Bereinigung auch nicht nötig.


    außer dass man auf diese ungewollten Seiten nicht mehr zugreifen kann.


    Dann ist doch dein Problem erledigt. Jetzt hast also noch irgendwelche Sinnloslinks, die irgendwer vielleicht ausprobieren könnte, aber vermutlich nie ausprobieren wird, weils gar keinen Sinn macht, außer dich zu ärgern und beschäftigen.

    und Google würde diesen "Hack" auch auf den anderen Seiten finden


    Weiß nicht, was du damit meinst. Ein Hack kann sich auf Nachbar-Verzeichnisse ausbreiten, also auch andere Domain-Webspaces, muss das aber nicht zwingend.

  • 1) Ich weiß wie man eine gehackte Seite bereinigt. Wenn die Seite gehackt war, dann ist das bereits über ein Jahr her. Warum ist diese Meldung also jetzt da gewesen?


    2) Ich kann 100% ausschließen das irgend eine Datei (mit Ausnahme der Bilder, die prüfe ich gerade noch, aber die ersten Checks waren auch negativ) auf dem Webspace verändert worden sind.Ich habe eine neue lokale Installation mit allen Komponenten in exakt der gleichen Version erstellt: das Ergebnis: bis auf 16 Dateien gibt es keinerlei Unterschied.Es ist nur eine PHP Datei dabei: "configuration.php" alles andere sind andere konfigurations-, XML oder INI Dateien die ich manuell geprüft habe. Die Unterschiede rühren daher das das eine eine neue Installation ist und die andere Seite schon länger in Verwendung ist.


    3) Die Seiten über die sich Google aufgeregt hat, haben nur ein Bild: das Logo und das ist auch unverändert.


    Zitat

    Weiß nicht, was du damit meinst. Ein Hack kann sich auf Nachbar-Verzeichnisse ausbreiten, also auch andere Domain-Webspaces, muss das aber nicht zwingend.


    4) Es ist ausgeschlossen das eine andere Seite auf dem Server betroffen sind. Es ist nämlich die einzige Seite auf dem V-Server.
    Was ich damit gemeint habe ist aber folgendes: Wenn die Webseite gehackt wäre, dann würde sich Google vermutlich auch über die "Normale" Seiten aufregen (nicht nur die mit den kommischens URLs), tut Google aber nicht.


    5) Auch die Datenbank wurde von mit geprüft, soweit ich sehen kann ist hier nichts was ich nicht auch auf anderen Installationen habe (kein eval, kein script, kein base64, usw.), und der Content ist 100% sauber.


    Daher ich diese Warnung persönlich nicht beim relaunch gesehen habe und auch der Kunde bis diese Woche nichts berichtet hat, können wir mal davon ausgehen das sie erst innerhalb der letzten Wochen oder Monate neu dazugekommen ist.


    Es gibt derzeit aber keinerlei Beweis dass die Seite je gehackt war oder noch ist. Auch Google gibt mir keinerlei Hinweise außer die URL’s.


    Ich komme also auf meine Ursprüngliche Frage zurück: wenn die Seite nicht gehackt wurde, oder der Hack wie durch Zauberhand verschwunden ist, muss ich doch davon ausgehen, dass es doch nur an der URL liegt, oder?
    Und wenn das der Rückschluss ist, sollte doch verhindert werden das Google die Möglichkeit hat solche Seiten zu indexieren.
    Sprich Joomla sollte, schon alleine aus duplicate content gründen, nur dann die Seite ausgeben wenn der alias auch übereinstimmt, oder?


    Mit dem neuen Router kann ich das bei manchen Projekten verhindern, aber ich kann ihn nicht überall Einsätzen.

  • Du hast anfangs verschwiegen, dass die Seite mal gehackt war. Auch so was "merkt sich Google". Und Hacker-Bots werden weiter versuchen, die Lücken, die jetzt vielleicht geschlossen sind, weiter auszunutzen, ggf. bestimmte URLs weiterhin im Netz streuen, denen Google weiterhin folgt.


    Google hat URLs gesammelt, auch während der Gehackt-Zeit, die längst nicht alle in Suchen auftauchen müssen, und wird die auch immer wieder ausprobieren. Ein wirkliches Löschen von einzelnen URLs aus dem Google-Index ist ja nicht (mehr?) möglich. Man kann sie "vorübergehend entfernen", nachdem sie auf unerreichbar gesetzt sind. Das hält Google aber auch nicht ab, sie auch nach seeehr langer Zeit noch mal zu probieren.


    Dir wird also nichts anderes übrig bleiben, als eben die neu auftauchenden URLs auch zu sperren und dann "vorübergehend entfernen". Erst mal täglich die Access-Logs sichten und all den Müll rauspicken.


    Google ist kontinuierliche und frustrierende Arbeit, teils sinnlose ABM.


    Und wenn das der Rückschluss ist, sollte doch verhindert werden das Google die Möglichkeit hat solche Seiten zu indexieren.


    Das kannst nur du "auf deiner Seite". Bspw. ein Plugin schreiben, das bestimmte URL-Muster auf 404 schickt und/oder .htaccess-Muster erstellen. Im Zusammenspiel mit dem neuen Router könnte man natürlich brutal definieren, dass Aufrufe die eine id- in der URL haben, 404 bekommen, nachdem man zuvor alle korrekten, alten URLs mit id sauber umgeleitet hat. Da zählt dann die richtige Reihenfolge.


    Außerdem ist das ja bei dem durchgeknallten Laden für mich durchaus auch noch Option, nachdem Google mittlerweile Drohungen verschickt, Seiten ohne SSL im Chrome nicht mehr anzuzeigen bzw. als unsicher zu diffamieren, selbst, wenn sie nur ein einzelnes Suchfeld enthalten (und das ist tatsächlich verifiziert durch Emails von Google):

    Sollte das tatsächlich so der Fall sein (wo hast du das her?), dann hat Google mittlerweile komplett die Kontrolle über sein Tun verloren. Ich darf jetzt also keine Beiträge mehr schreiben, die sich mit fake und spam und Hack etc. beschäftigen, was dann auch im Alias abgebildet wird?


    Ich seh das nur nicht bestätigt durch das, was du schreibst. Höchstens ein "vielleicht".
    Weißt doch selber, wie schnell auch Legenden die Runde machen.

  • Zitat

    Du hast anfangs verschwiegen, dass die Seite mal gehackt war.


    Wie kommst Du darauf? Ich habe nie behautet dass die Seite gehackt war, das war Deine Vermutung! Im letzten Jahr war sie das auf jeden Fall nicht! Was allerdings davor war kann ich nicht wirklich nicht mit Bestimmtheit sagen (Ich betreue die Seite erst seit dem Relaunch), mir ist aber auch da nichts bekannt. Was mich aber wie gesagt wundert ist, dass die Meldung vom Kunden erst jetzt entdeckt wurde.


    Lassen wir es fürs erste Mal dabei, ich befasse mich jetzt mit dem Thema direkt bei Google. Wenn ich von dort neue Informationen habe lasse ich es euch hier wissen.