Zitat Zitat von keraM Beitrag anzeigen
Das Google Mails verschickt, wäre mir neu, bin aber auch gern bereit dazu zu lernen.

*****

Oder es ist so, wie Dein Hoster schreibt. Beim ersten Hack wurde eine Hintertür eingebaut (Shellscript), über die die Hacker vollständigen Zugriff auf die Site haben. Da helfen auch keine Updates mehr.
Einzige Hilfe, tu was der Hoster empfiehlt: analysiere die Logfiles.
Wenn Du das nicht selbst kannst, dann beauftrage einen Profi damit www.joomlajobs.de

Die Sache solltest Du nicht auf die leichte Schulter nehmen. Sowas kann ganz schnell richtig teuer und unangenehm werden.
Auch ich bin lernfähig und will das nicht generell behaupten, sicher gibt es da noch andere Varianten und Vorgehensweisen.

Hier noch ein Beispiel einer Meldung von Google:
Von: noreply@ google .com
An: abuse@ ihredomain .de, admin@ ihredomain .de, administrator@ ihredomain .de, contact@ ihredomain .de, info@ ihredomain .de, postmaster@ ihredomain .de, support@ ihredomain .de, webmaster@ ihredomain .de

Dear site owner or webmaster of ihredomain.de,

We recently discovered that some pages on your site look like a possible phishing attack,
in which users are encouraged to give up sensitive information such as login credentials
or xxx information. We have removed the suspicious URLs from Google.com search
results and have begun showing a warning page to users who visit these URLs in certain
browsers that receive anti-phishing data from Google.

Below are one or more example URLs on your site which may be part of a phishing attack:

http://www.ihredomain .de/images/stories/xxx/xxx.html

Here is a link to a sample warning page:
http://www. google .com/interstitial...s/xxx/xxx.html

We strongly encourage you to investigate this immediately to protect users who are being
directed to a suspected phishing attack being hosted on your web site. Although some
sites intentionally host such attacks, in many cases the webmaster is unaware because:

1) the site was compromised
2) the site doesn't monitor for malicious user-contributed content

If your site was compromised, it's important to not only remove the content involved in
the phishing attack, but to also identify and fix the vulnerability that enabled such
content to be placed on your site. We suggest contacting your hosting provider if you are
unsure of how to proceed.

Once you've secured your site, and removed the content involved in the suspected phishing
attack, or if you believe we have made an error and this is not actually a phishing
attack, you can request that the warning be removed by visiting
http:// www. google .com/safebrowsing/report_error/?tpl=emailer
and reporting an "incorrect forgery alert." We will review this request and take the
appropriate actions.

Sincerely,
Google Search Quality Team

Der Provider hat selber ein Interesse, dass seine Server keine gehackten Sites aufweisen und darum vermute ich, dass die Sperrung durch den Hoster kam - auf Grund einer Meldung von Google wie oben.

Google "sperrt" wohl keine Site ohne Vorankündigung. Google kann nur in der Suchmaschine Domains "sperren" und macht Meldung. Die direkte Sperrung erfolgt durch den Provider als verantwortlicher Serverbetreiber. Er bekommt die Meldung von Google auch mit und wenn der Domain-Besitzer nicht selber reagiert und das subito, bleibt nichts anderes übrig als die Domain zu sperren.

Im vorliegenden Fall war ein ckform-Formular zur Einschleusung eines Skriptes missbraucht worden. Ganz simpel und einfach, weil das Teil ungebraucht und vergessen wurde und somit auch kein Update erfolgte.
Und ganz korrekt ist die Aussage sowieso nicht, dass Google eine Site sperrt. Google kann nur seine Daten in der Suchmaschine sperren. Wäre ja noch schöner, wenn Google so eine Macht bekäme und direkt auf Server und Domains-Registration zugreifen könnte. Darum auch die Meldung an diese Instanzen, wenn was als faul beobachtet wird. In diesem Sinn fällt Google mal positiv auf ;-)

Auch ich bin lernfähig und will das nicht generell behaupten, sicher gibt es da noch andere Varianten und Vorgehensweisen und zudem wird da auch laufend dem neusten Stand der Entwicklung angepasst.

Die Sache war übrigens schnell behoben:
1. infiszierte Datei löschen.
2. ckforms (oder anderes Modul/plugin, welches die Einschleusung zuliess) updaten/entfernen
3. Einen neuen Satz 1.5.20 Joomla-Dateien überschreiben.
5. Domain auf Server wieder aktivieren.
4. Google Meldung machen, dass die Sache behoben ist. Fertig