OKay, ich glaub da muss ich mich mal einlesen in diesem referer Krempel. Irgendwie versteh ich grad den Sinn da nicht, außer dass hinter dem Rücken des Users wieder Daten übertragen werden können, was dieser in einigen Fällen garnicht will.

Tu das, ist ja schon seit Ewigkeiten Standard der Http Anfrage (so seit ca. 20 Jahren oder länger)

Was zur Veranschaulichung:

hxxp://rendez-vous.toile-libre.org/zerobin/?dc2379ba93a0a368#4x2mLBmD1yWBZDtazJ6Ut0ztcaJGn5jK/vbMiDi1Hr8=

da Startseite http, zeigt es den Referrer auf http und https Ziel-Seite an

https://sebsauvage.net/paste/?e56887ff40dbcb1b#e+M37jx1/GZnfokhpELAaAom8aKpKCnhaZVlZZPx/jM=

da Startseite https, zeigt es den Referrer nur auf https Ziel-Seite an und nicht auf http-Ziel Seite

Siehe auch: https://developer.mozilla.org/de/docs/Web/HTTP/Headers/Referer

Ich weiß dass es das schon länger gibt aber ich hab nie einen wirklichen Anlass bisher gehabt, mich damit kritisch auseinanderzusetzen

Also...ich glaub das mit dem referrer hab ich verstanden.

Wenn eine URL auf einer Webseite klickbar verlinkt ist und man als User da drauf klickt also zB dieser Link:

https://de.wikipedia.org/wiki/Referrer

Dann bekommt der Webserver der Wikipedia vom Browser des Users halt eben den referrer, dass er diesen Link im Trojaner-Board angeklickt hat. Richtig?

Wie ist das jetzt im Fall vom CBD-Shop? Man sucht nach diesen Produkten bei Google, Google präsentiert einem die bekannte Liste an Suchergebnissen, welche ja klickbare Links sind. Klick ich da drauf, also auf den Link der zum CBD-Shop führt, teilt mein Browser dem Server vom CBD-Shop mit, dass ich von Google komme.

Ok, soweit so gut. Aber warum bekomm ich dann irgendeinen Mist angezeigt beim ersten Klick und nur wenn ich ein Google-Suchergebnis anklicke? SInd wir wirklich auf der richtigen Spur mit dem HTTP-Referrer?

Zitat:

Zitat von cosinus

Dann bekommt der Webserver der Wikipedia vom Browser des Users halt eben den referrer, dass er diesen Link im Trojaner-Board angeklickt hat. Richtig?

RICHTIG

Des weiteren kann ich nur mutmaßen.
Ich denke ja, dieser CBD-Shop hat vielleicht irgend eine Konfiguration fürs Google Ranking, wie z.B. Google Analytics
Dazu kommt evlt.

https://de.wikipedia.org/wiki/Suchmaschinen-Spamming

Oft ist das ja verknüpft mit einem riesigen Werbenetzwerk. Vielleicht eine Konfiguration, die sich nun ins Gegenteil verkehrt hat und als erstes leider Werbung anzeigt?

Ich konnte es bei dem CBD-Shop heute in https://www.trojaner-board.de/196393-hinweise-ad-malware-threads-bitte-offen-lassen-2.html#post1728970 ja sehen, aber ich probiere es morgen (mit neuer IP) nochmal und dann nur, indem ich gar nicht erst google aufrufe und von dort aus klicke, sondern indem ich nur den Link direkt aufrufe, ihm aber einen google Referrer mit gebe (kann man machen, wenn man sich etwas mit der Materie beschäftigt und eine Firefox Erweiterung nutzt)

Bei knorkator.de und pointclouds.org konnte ich das mit dem gefakten google Referrer auf jeden Fall schon erfolgreich reproduzieren.
Somit ist die Weiterleitung auf jeden Fall bei diesen beiden Seiten durch den Referrer beeinflusst.

Eine andere Möglichkeit wäre natürlich noch, dass die Seite selbst angegriffen und manipuliert wurde.
Bei knorkator.de würde mich das nicht wundern, da ein altes Wordpress benutzt wird.
Edit: vertan, so alt ist die Version doch nicht. WP 4.9.13 vom December 12, 2019 (dachte sie wäre älter, da die neueste schon länger die 5er Version ist, aber anscheinend wird die 4er Version doch noch mit Updates versorgt)

Bei pointclouds.org: hm, durchaus auch möglich wenn man das liest

https://github.com/PointCloudLibrary/pcl/issues/3534
https://github.com/PointCloudLibrary/pcl/issues/2381

Ok, sollte das so sein, dass der Mist nur dann kommt, wenn der Browser des Users diesen referrer sendet - und zwar nur 1x pro IP bzw session und auch nur wenn man von Google kommt - dann ist das doch eher ein Problem des Webservers, weil er wenn er den entsprechenden referrer bekommt, Unerwünschtes anzeigt.

Wenn dem so ist dann haben die meisten Betreiber keine Möglichkeit das selbst zu ändern. Nur wenn man einen eigenen Server voll unter Kontrolle hat mit root Zugriff und SSH und allem eben. Die meisten haben aber einen managed server und nur FTP-Zugang und vllt noch SQL.

Ich habe es vorhin noch einmal genauer überprüft, es liegt weder an irgendwelchen Cookies, noch an Google-Ergebnis-Link-Geraffel, noch an Javascript, sondern eindeutig am google/bing Referrer. Ist dieser aus oder ein anderer, dann kommt keine Weiterleitungsseite.
Dies gilt aktuell für:

knorkator.de
pointclouds.org
auf google gefundene Unterseiten von:***.supp-corner.de/****.html

bei cbdheld.com konnte ich die Weiterleitung vorhin nicht mehr feststellen, aber die Seite wurde auch geändert und anscheinend google-analytics raus genommen und generell einiges verändert.

Es wäre sehr nett wenn der User cbd sich hier melden würde und berichtet was er gemacht hat und was die Weiterleitung auslöste. Es würde mich echt interessieren.
Das es grundsätzlich an google Analytics liegt kann ja eigentlich nicht sein, dann wäre das Verhalten bei fast jeder zweiten Website. Dem ist aber nicht so.
BTW: deine Schrift fontawesome-webfont auf deiner Webseite ist falsch verlinkt und kann nicht geladen werden

(ich wollte ihm vorhin eine PN schreiben aber ich habe heute schon auf eine geantwortet und darf nur eine innerhalb von 10h schreiben )

Ich vermutete dass die .htaccess gehackt wurde bei cbd, und damit habe ich einen ziemlich guten Thread dazu gefunden, der das alles sehr gut beschreibt bei ähnlichem Verhalten.
https://support.google.com/webmasters/thread/8180855?hl=en

Ich hoffe cbd hat Zugriff auf die.htaccess Datei
Würde mich interessieren wie die aussieht bzw. aussah (so lange da nix persönliches drin stand, was aber eigentlich nie der Fall ist)

Zu
https://www.trojaner-board.de/197574-windows-10-verschluesseltes-archiv-mail-geoeffnet-trojanerverdacht.html

handelt es sich höchstwahrscheinlich darum

https://www.mimikama.at/allgemein/trojaner-warnung-ursnif-trojaner-versteckt-sich-in-einer-word-datei/

Zitate daraus:

Zitat:

Das Archiv ist passwortgeschützt, somit ist es Antiviren-Programmen nicht möglich, es zu scannen und den Nutzer zu alarmieren. Damit man das Archiv öffnen kann, erhält man im Mail das zugehörige Passwort.

Zitat:

Die Mails stammen teilweise von bekannten Absendern, beziehen sich auf bestehende Projekte in Firmen und wirken somit sehr glaubhaft.

Zu
https://www.trojaner-board.de/197573-windows-system-defender-malware.html#post1729167

Das das nur eines von vielen Fake Virus Werbefenstern ist, auf die man ohne Adblocker beim Surfen gerät ist aber schon klar, oder?
siehe: https://malwaretips.com/blogs/remove-e-tre456-worm-windows/

Genauso bei
https://www.trojaner-board.de/197551-win32-hoax-renos-hx.html
siehe
https://malwaretips.com/blogs/remove-your-windows-10-is-infected-with-5-viruses/

Was ich damit explizit nicht sagen will, ist dass ich eine Analyse und Bereinigung des Systems nicht sinnvoll halte. Im Gegenteil.
Aber ohne Adblocker werden die User solche Dinger irgendwan immer wieder zu sehen bekommen, egal wie sauber das System ist.

Zitat:

Zitat von Citro

Aber ohne Adblocker werden die User solche Dinger irgendwan immer wieder zu sehen bekommen, egal wie sauber das System ist.

Nee, noch nie gehört citro!!!
Du hast unseren Abschlussbaustein mit den ganzen Empfehlungen aber schonmal gelesen oder?

zumindest überflogen. Ja, da steht auch uBlock Origin drin. h:
Das Problem sehe ich aber etwas in der mangelnden Aufklärung im entsprechenden Thread.
Da wird selten, bis gar nicht (es kann ja gerne am Schluss sein) geschrieben, dass der User lediglich auf eine Fake Seite rein gefallen ist.

Ich sehe schon auch die Problematik, wenn man es am Anfang schreiben würde, dann würden evtl. die Meisten keine Logs posten und den Rechner nicht sauber machen.

Aber die eigentliche Ursache sollte zum Schluss doch schon erwähnt werden. Da gehen die Leute und denken sie hätten sich wirklich einen Trojaner eingefangen der nun durchs Trojaner-Board entfernt wurde. Dem ist aber nicht so. Nur darum gehts mir.

Leider können die die Meisten, die hier wegen so etwas aufschlagen, nicht den Unterschied zwischen einer wirklichen Meldung ihres AV Programmes und der Fake-AV-Seite im Browser erkennen (und das, obwohl sie wie im oberen Fall sogar noch ein Foto davon dran hängen)

Du ich hab da auch langsam keine Lust mehr, jedem da ausführlich alles zu erklären. Für die meisten ist ein Virus ein Virus ein Virus. Auch wenn es nur Adware oder ein Fehlalarm war. Nee, wenn ein Virenscanner oder adwCleaner was findet, dann wars ein Virus. Wenn sich die Gelegenheit ergibt erklär ich da auch mal was. Aber man kann einfach nicht jedem klarmachen was genau Sache ist.

Wäre nur ein Satz am Ende wie zb.

"War kein Virus sondern nur eine Fake-Virus-Seite, die wahrscheinlich durch Werbung, in deinem Browser aufgerufen wurde."

Aber das müsst ihr entscheiden wie ihr damit umgeht. War nur ein gut gemeinter Vorschlag meinerseits.

https://www.trojaner-board.de/198157...ml#post1731211
Da wird von den Format-C-Anhängern wieder das Plattmachen des Rechners empfohlen:
https://www.computerbase.de/forum/th...rvice.1928027/

Ist das schon wieder so ein Crossposter?!

Identischer Text...