Wie sind Phishing-Seiten auf meine Seite gekommen?

Fast immer ein verwundbares Plugin, ein ungeschütztes Upload-Formular oder gestohlene Zugangsdaten. Angreifer scannen das Web permanent nach verwundbaren WordPress-Installationen als Wegwerf-Hosting.

Habe ich Ärger mit Google oder meinem Hoster?

Möglich. Google Safe Browsing markiert Domains, die Phishing-Kits hosten, und die meisten Hoster sperren ein Konto bei einer Phishing-Beschwerde. Wir reichen Reconsideration ein und liefern eine schriftliche Erklärung für Ihren Hoster.

Werden meine Besucher das mitbekommen?

Nein — das Kit liegt auf Unterseiten, nicht auf Ihrer Startseite. Echte Besucher auf Ihrer echten Seite sehen es nicht. Anti-Phishing-Dienste können Hinweise zu den betroffenen URLs hinzufügen — wir lassen die im Zuge der Bereinigung entfernen.

Wie verhindere ich, dass das wieder passiert?

The report names the exact vector and lists the specific changes you need to make. I can also handle them for you.

// PHARMA-HACK · WORDPRESS · BEREINIGT

WordPress phishing page removal.

Ihre Domain wird genutzt, um gefälschte Login-Seiten für Microsoft, Google oder Banken zu hosten. Wir entfernen das Phishing-Kit, schließen den Eintrittsweg und reichen die Abuse-Reports ein. Pauschal 279 $.

Bereinigung starten → Wie Phishing-Seiten auf Ihrer Seite landen

§ 01 — MECHANISMUS

Ihre Domain wirkt seriös. Genau deshalb haben sie Sie ausgewählt.

Eine kompromittierte WordPress-Installation mit echtem SSL-Zertifikat und alter Domain ist die perfekte Hosting-Plattform für eine Phishing-Seite. Der Angreifer lädt ein Fake-Login-Kit hoch — meist nach wp-content/uploads/ — und schickt Links an Tausende Opfer. Ihre Besucher sehen die fremde URL erst, nachdem sie das Passwort eingegeben haben.

Das Phishing-Kit zu entfernen ist der einfache Teil. Der schwere Teil ist die Backdoor zu finden, die es hochgeladen hat — denn dieselbe Backdoor lädt in zwei Tagen das nächste hoch. Wir machen beides.

// find — kürzlich hochgeladene verdächtige Dateien

01 find wp-content/uploads/ \\
02     -type f \( -name '*.html' -o -name '*.php' \) \\
03     -mtime -30
04
05 // HTML or PHP files in /uploads/ created in the last
06 // 30 days are almost always either kits or backdoors.

§ 02 — WAS WIR ENTFERNEN

Phishing-Kit entfernt. Backdoor geschlossen.

[ PLUGIN-TRIAGE ]

Dateisystem nach Dateien durchsucht, die nicht hingehören: HTML und PHP in uploads, Dateien, die bekannte Login-Seiten nachahmen, unbekannte Unterverzeichnisse.
[ PHISHING-KIT ]

Jede Datei des Kits entfernt. Statische Assets, gefälschte Formulare, Exfiltrations-Endpunkte — weg.
[ BACKDOORS ]

Die PHP-Backdoor, die das Kit hochgeladen hat, wird gefunden und entfernt, damit der nächste Schwung nicht platziert werden kann.
[ ABSICHERUNG ]

PHP-Ausführung in uploads deaktiviert. Datei-Upload-Prüfungen auditiert. Berechtigungen verschärft.
[ BERICHT ]

Abuse-Meldungen beim Hoster des Exfiltrations-Endpunkts und bei den Registraren der gefälschten Marken eingereicht.
[ BERICHT ]

Forensischer Bericht in verständlicher Sprache, Liste der betroffenen Marken, was das Kit sammelte, was wir dagegen unternommen haben.

§ PREISE

Pauschal $279. Einmalig. Pro Seite.

[ RESCUE ]

$279

PAUSCHAL · EINMALIG · PRO SEITE

Manual cleanup, entry-vector identification, written forensic report.

Bereinigung starten →

[ SHIELD ]

$29 / mo

PRO SEITE · JEDERZEIT KÜNDBAR

Laufendes Monitoring, Absicherung, eine Bereinigung pro Jahr inklusive.

Schützen lassen →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Alle Leistungen ansehen →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Kontakt →