Security Professionals - ipfw add deny all from eindgebruikers to any

Redirect van mijn site door een andere webpagina/domeinnaam ?

05-10-2022, 17:39 door EenVraag, 13 reacties
Hallo iedereen ik heb een vraag over redirecten. Het gaat om het volgende.

Is het mogelijk dat een externe domeinnaam of pagina of een domeinnaam (die niet mijn bezit is) 'controle' kan krijgen door mijn site te redirecten?

De reden dat ik dit vraag is dat in Google Search Console via URL inspectie mijn website niet geindexeerd kan worden. Er staat : Page is not indexed: Page with redirect

Bij de uitleg staat een referral linkadres met een (externe) website.

Er staat ook SiteMaps N/A, terwijl ik wel mijn sitemaps heb geupload, maar indien dit geupload is, wordt het bij een redirect status mogelijk niet meer gecontroleerd.

Mijn vraag is dus: kan de externe gevonden domeinnaam/webpagina mijn domein redirecten?
Reacties (13)
05-10-2022, 21:13 door Anoniem
Wat ik in jouw geval zou doen is in de logbestanden van de webserver gaan neuzen. Daar zie je met welke HTTP-responsecodes gereageerd is op de verschillende requests, en een server stuurt een redirect aan door een responsecode te sturen met een betekenis als "page moved". Google zou je moeten kunnen herkennen aan de browseridentificatiestring, die ook genoemd wordt.

Een redirect die typisch binnen een website gegeven wordt door een webserver is van https://www.example.com naar https://www.example.com/ - dus met een slash aan het einde.

Ik laat het aan jou over om een tabel met HTTP-responsecodes te vinden, dat is met een simpele zoekopdracht te doen. Als je de webserver niet zelf host moet je hostingprovider toegang tot die logs geven in hun beheerinterface.

In die logbestanden kan je zien wat de webserver gedaan heeft. Als die Google met een redirect naar een externe site stuurt dan deugt er iets niet in de configuratie van je webserver. Als dat Apache2 is dan kan dat zowel de centrale configuratie zijn als een .htaccess-bestand in je website zelf. Hoe dat bij andere webservers precies is geregeld heb ik niet paraat.

Ik raad je echt aan om de servelogs in te duiken. Meestal is het heel verhelderend als je concreet ziet wat er nou precies gebeurd is. Ik heb al heel wat keren meegemaakt dat iets wat totaal raadselachtig leek dan opeens volkomen logisch en verklaarbaar bleek, en makkelijk te verhelpen.
06-10-2022, 07:20 door Anoniem
Door Anoniem: Als die Google met een redirect naar een externe site stuurt dan deugt er iets niet in de configuratie van je webserver.
Of er deugt iets niet in de webapplicatie, die kan ook redirects aansturen. Je kan dus ook in de code van die applicatie of in de configuratie van een CMS moeten zoeken. Dat levert nog steeds HTTP-responsecodes op die je in de webserverlogs terug moet kunnen vinden. Maar logs van je applicatie of het CMS kunnen de volgende stap zijn om te onderzoeken wat er aan de hand is.
06-10-2022, 13:00 door Anoniem
Het kan ook zijn dat bijv. een wordpress site besmet is met malware die je bezoekers redirect naar een of andere goksite, maar dat je dat zelf niet ziet als je de site bezoekt omdat je bijvoorbeeld een tracker blocker of een script blocker op je computer hebt.
(zelf gezien dat dat gebeurde op een wordpress site waar ik bij geroepen werd maar die het op mijn eigen computer goed deed)
06-10-2022, 14:56 door Anoniem
Kort antwoord ja het kan middels DNS poisoning maar dat is zeldzaam als het op random aanvallen aankomt.
Grotere kans dat er obfusticated code met snelle uitvoer tijd (Base64) staat ergens in je public folder als er sprake is van malware.

Geen indexering mogelijk check eerst of je wel een robots.txt hebt met een allow erin en niet een disallow /
Dat niet het probleem dan kun je verder kijken naar mogelijke malware.
Wipen van sitemap kan mogelijk komen door een virusscanner op server niveau die afwijking registreert, plugin in CMS die de boel overschrijft of problemen met schrijf rechten.

Scan je domein met https://sitecheck.sucuri.net/
En check de server IP's voor overige afwijkende signalen middels https://www.abuseipdb.com/
Die pakken de meest voor de hand liggende hijacks op.
Let vooral op de Domain clean by Google Safe Browsing indicator. Is die groen dan houdt Google je indexering niet zelf tegen.

Is dat wel het geval dan neem pas contact met Google op nadat je de domein schoon hebt kunnen verklaren met gedegen rapportage. Google komt vervolgens met een antwoord of ze eens zijn met de mitigation of niet. Ingeval ze het verzoek afwijzen en je weet zeker dat je alles hebt gecontroleerd dan escalatie aanvragen. In zeldzame geval kijkt de senior support namelijk naar een cached kopie vanaf hun eigen infra waardoor de audit positief resultaat geeft. We hebben dit geintje twee keer gehad in +- 10 jaar met index weigeringen.

Verder te weinig informatie we weten niks over de infra we weten ook niet of er een CMS gebruikt wordt en welk rechten niveau je hebt van de servers uit.

Ik adviseer sterk om dit uit te besteden aan een gedegen bedrijf als het om een zakelijk domein gaat. Of indien je contract het biedt af te laten afwikkelen via je provider. Er kunnen serieus consequenties zitten aan late of incomplete reactie. Voor een persoonlijke site is de schade niet zo groot maar als bedrijf kan je maanden domeinreputatie problemen oplopen inclusief mail.
06-10-2022, 16:45 door Anoniem
Ik heb zelf wat Google betreft al eens helemaal opnieuw moeten beginnen, dus alles migreren, met een nieuwe domeinnaam. Als Google je domein niet meer vertrouwt dan kan het zomaar een half jaar of langer duren voordat je niet meer domein-ethisch geprofileerd staat en je werkelijk niets goeds meer kunt doen. Dat kan vooral Google ook weinig schelen. Eigenlijk gewoon helemaal niks en nada. Ze hebben enkel wat algemene fora en verder geven ze nooit thuis. Daarnaast om met allerlei tools er in elk geval toch achter te komen wat er dan fout gaat in hun algoritme optiek, ook allemaal bagger en minstens weken wachten op vage hints. Ook voor eventuele schade die je oploopt met onvindbaar zijn duiken ze elke aansprakelijkheid. Ze hebben meer macht dan de eerste keizer van China, maar genieten daarnaast nog meer keizerlijke onschendbaarheid.

Google is er niet voor jou. Google is er voor Google. En voor hun aandeelhouders.
07-10-2022, 07:25 door ShaWormHa
Kan je deze pagina eens delen met ons? Dan kunnen we zelf eens kijken met een scan wat er fout gaat.
07-10-2022, 09:25 door Anoniem
Toevallig heb ik zelf exact dezelfde melding gekregen van Google, maar na een korte 5 minuten kom ik erachter dat dit aan mezelf ligt. Ik heb een wordpress site waarbij ik van een bestaand bericht de titel en url-slug heb gewijzigd en het bericht aangepast, maar het is nog steeds dezelfde pagina / hetzelfde bericht. Dit vind Google dus blijkbaar niet leuk.
07-10-2022, 11:14 door EenVraag
Ik lees dat er ook een disavow tool is van Google. Zo kan ik slechte links buitensluiten.

Maar omdat ik dit domein minder dan een jaar geleden heb aangemeld is er nog niet veel inkomend Google verkeer. Verder ben ik een leek op GSC gebied.

En omdat ik niet kon plaatsen waar de dubieuze link vandaan komt in Google Search wil ik eerst vast stellen of andere domeinnamen DNS records aan kunnen maken voor mijn domein. (hoewel dat niet het geval lijkt)

Verder ga ik mijn domeinnaam of die van de aanvaller niet noemen.

De enige optie voorlopig lijkt de Disavow Tool van Google te gebruiken. Het kan zijn dat het een bewuste aanval is, maar het kan ook dat iemand dit onnadenkend heeft gedaan.

Mijn vraag is of iemand weet waar dit soort verdachte websites aangemeld kunnen worden voor beoordeling door antivirus, anti-malware, hacking controle?
07-10-2022, 11:34 door Anoniem
Door EenVraag:
De enige optie voorlopig lijkt de Disavow Tool van Google te gebruiken. Het kan zijn dat het een bewuste aanval is, maar het kan ook dat iemand dit onnadenkend heeft gedaan.
Je schijnt nog steeds te denken dat het iets is wat iemand anders met jouw site doet (een link erheen ofzo).
Echter het is veel waarschijnlijker dat het malware op jouw eigen site is, die jij zelf niet ziet maar google wel.
07-10-2022, 12:58 door Anoniem
Door EenVraag: Ik lees dat er ook een disavow tool is van Google. Zo kan ik slechte links buitensluiten.

Maar omdat ik dit domein minder dan een jaar geleden heb aangemeld is er nog niet veel inkomend Google verkeer. Verder ben ik een leek op GSC gebied.

En omdat ik niet kon plaatsen waar de dubieuze link vandaan komt in Google Search wil ik eerst vast stellen of andere domeinnamen DNS records aan kunnen maken voor mijn domein. (hoewel dat niet het geval lijkt)

Verder ga ik mijn domeinnaam of die van de aanvaller niet noemen.

De enige optie voorlopig lijkt de Disavow Tool van Google te gebruiken. Het kan zijn dat het een bewuste aanval is, maar het kan ook dat iemand dit onnadenkend heeft gedaan.

Mijn vraag is of iemand weet waar dit soort verdachte websites aangemeld kunnen worden voor beoordeling door antivirus, anti-malware, hacking controle?


Nou heb ik ook een vraag. Als je hier kennelijk niet zo heel veel kaas heb van gegeten, zou je je dan niet eens afvragen waarom beheer ik dit en is het niet verstandiger de stekker er uit te trekken?? Ik zou lekker gaan knutselen met een lokaal webserver zonder intenet access tot je meer ervaring heb..

Suc6
07-10-2022, 13:29 door Anoniem
Door Anoniem:
Door EenVraag:
De enige optie voorlopig lijkt de Disavow Tool van Google te gebruiken. Het kan zijn dat het een bewuste aanval is, maar het kan ook dat iemand dit onnadenkend heeft gedaan.
Je schijnt nog steeds te denken dat het iets is wat iemand anders met jouw site doet (een link erheen ofzo).
Echter het is veel waarschijnlijker dat het malware op jouw eigen site is, die jij zelf niet ziet maar google wel.
Het is nog waarschijnlijker dat er geen hackers bezig zijn en er geen malware draait.

Als Google zegt dat je site redirect, dikke kans dat die dat dan doet. Dan is hosting partij mogelijk verantwoordleijk voor je CMS (wordpress of zo) en redirecten ze al je verkeer naar een voor hen prettiger hoekje. Kijk eens in je beheer-paneel, en google alles wat je niet snapt.

also, welke site is het?
07-10-2022, 14:31 door Anoniem
Door Anoniem:
Door Anoniem:
Door EenVraag:
De enige optie voorlopig lijkt de Disavow Tool van Google te gebruiken. Het kan zijn dat het een bewuste aanval is, maar het kan ook dat iemand dit onnadenkend heeft gedaan.
Je schijnt nog steeds te denken dat het iets is wat iemand anders met jouw site doet (een link erheen ofzo).
Echter het is veel waarschijnlijker dat het malware op jouw eigen site is, die jij zelf niet ziet maar google wel.
Het is nog waarschijnlijker dat er geen hackers bezig zijn en er geen malware draait.

Als Google zegt dat je site redirect, dikke kans dat die dat dan doet. Dan is hosting partij mogelijk verantwoordleijk voor je CMS (wordpress of zo) en redirecten ze al je verkeer naar een voor hen prettiger hoekje. Kijk eens in je beheer-paneel, en google alles wat je niet snapt.

Het kan natuurlijk zijn dat hij een goedkoop domein heeft genomen waar een "redirector" op draait die alles in een
frame laat zien en de content op een andere server heeft staan. Ik weet niet of Google daar een probleem van maakt,
ik heb dat zelf nooit op die manier gedaan en eerlijk gezegd heb ik ook nooit problemen gehad dat Google mijn site
ineens verdacht vond ofzo. Maar ik heb ook geen wordpress draaien.
Wat ik WEL bij de hand gehad heb is dat een site met wordpress de gewone bezoekers redirect naar een goksite, en
als ik daar zelf op keek met Ghostery draaiend dan was alles OK. De redirect zat in een widget wat Ghostery zag
als een tracker en dus blokkeerde, en mensen zonder Ghostery werden geredirect.
Dit was ook bijna niet meer op te lossen wat die wordpress is zo'n gatenkaas dat ze steeds weer nieuwe backdoors planten
zolang je niet alles gevonden en verwijderd hebt.

also, welke site is het?

Dat gaat ie niet zeggen. Dus het blijft allemaal giswerk voor ons.
07-10-2022, 14:59 door Anoniem
Misschien zit ie wel op DNS0.it en is tie aan het 'luren'?
Redirecting is wel een kwaliteit van een goede PHISH, niet?

Het spreekwoordelijke spierinkje uitgooien om een kabeljauw te kunnen vangen?
Het vragen naar de bekende weg verhaal, wellicht?

#obserwator
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.