Google Phising

Google hat über Nacht die Domain "windeln.nrw" inkl. aller Subdomains als "Schädlichen Inhalt" (Deceptive pages). Sprich dort gibt es gefährliche Inhalte, wie die Installation ungewollter Software, abgreifen von Daten oä. Dass man gehackt wurde taucht in diesem Zusammenhang auch oft auf.

In der Google Search Console (zu diesem Zeitpunkt hatte ich nur musik.windeln.nrw eingetragen) konnte man diesen Fehler ebenfalls sehen. Bei Beispiel URLs wurde aber N/A bzw. keine Angabe angezeigt. Das hat natürlich überhaupt nicht weiter geholfen, da ich verschiedenste Dienste selber hoste (Nextcloud, GitLab, BitWarden, etc.) Und auch einige eigene Seiten unter der Domain laufen habe Musikservice etc. Anschließend habe ich die meisten Seiten in die Search Console eingetragen und "Request Review" teils mit Rückfrage, was das Problem ist, teils mit "gelöst" ausgefüllt. Im Nachhinein hat es sehr geholfen alle URLs einzutragen. Gerade die Hauptdomain (windeln.nrw) als Domain Property (nicht als URL Präfix). Das reine Ausfüllen der "Request Review" hat höchstwahrscheinlich nichts gebracht. Ich habe ja auch kein Problem gelöst. Es kann aber laut Google auch mehrere Tage dauern bis sowas durch ist.

Ich habe in Contabo alte DNS Einträge entfernt. Hier gab es noch einen Eintrag auf einen ehemaligen Contabo Server, wer weiß was inzwischen unter der IP gehostet wird/wurde. Da es von Google keinen Kontaktinfos gibt wo man sich dazu melden kann, habe ich im Forum nachgefragt. Die Antworten ließen zu Wünschen übrig. Es wurden mir einige Scanner vorgeschlagen:

• https://view.hugo-decoded.be/
• https://sitecheck.sucuri.net/
• https://transparencyreport.google.com/safe-browsing/search?hl=en

Zwei kannte ich zwar schon. Ersteren aber noch nicht. Wirklich neue Infos hat er nicht geliefert. Alle Scanner hatten alle gescannten Punkte auf grün, außer der Google Safe Browsing test... Ich hatte hier bereits danach gesucht eine Fehlerhaft Einstufung zu melden, hatte aber nichts gefunden. Zudem stand an einer Stelle "der Googlebot macht keine Fehler".

Am morgen sind immer noch alle URLs als gefährlich eingestuft (Lustiger weise war history.google.com im Browser mit meinem privaten Mail Account auch plötzlich Schädlicher Inhalt, im anderen nicht...). Daher habe ich mich dazu entschieden alle Dienste, außer Nextcloud, Homeassistant und BitWarden auf eine andere/neue URL windeln.ovh umzuziehen. Leider war diese Domain erst am Abend bei allen DNS Servern angekommen, sodass ich am Abend erst alles umgestellt habe. Nach dem Umzug auf die andere Domain, was dank Traefik echt easy war, habe ich wieder bei in der Search Console ein "Request Review" ausgefüllt. Teils mit "Problem gelöst", teils mit "Dienst entfernt". Alle Umgezogenen Seiten liefern nun ein 404 zurück.

Am morgen direkt wieder geprüft. Weiterhin sind alle URLs als gefährlich eingestuft. Sofortige Enttäuschung. Liegt es doch an einem der 3 verbleibenden Dienste oder habe ich was ganz anderes übersehen. Also nochmal in die Search Console. Zu meiner Freunde statt nun sowohl an der Domain Property als auch an den Betroffenen URL Präfixen die jeweils Betroffenen URLs dran:

• https://git.windeln.nrw/
• https://git.windeln.nrw/users/sign_in
• https://mail.windeln.nrw/

GitLab ist selbst gehostet. Da wird es wahrscheinlich daran liegen dass der Googlebot hier dachte ich habe die Seite nachgebaut um Nutzerdaten zu stehlen. Hatte ich so bei dem ein oder anderen Dienst auch vermutet. Aber mail.windeln.nrw ist doch seit Ewigkeiten nicht mehr im DNS. Naja, einfach auch mal in die Search Console eingetragen.

Erfreulich, dass ich nun endlich weiß welche Dienste das Problem sind. Diese Information habe ich höchstwahrscheinlich auch nur bekommen, da ich die Entsprechenden Domains eingetragen habe. Da die anderen Subdomains weiterhin keine Infos zu URL bereitstellen, aber trotzdem als gefährlich eingestuft sind. Soweit so gut, aber GitLab läuft doch seit ca. 12 Stunden nicht mehr unter meiner Domain und mail.windeln.nrw eigentlich noch länger...

Nun habe ich, wie auch immer, diese Seite gefunden: https://safebrowsing.google.com/safebrowsing/report_error/?hl=en Hier kann man Fehlerhaft als Phising eingestufte Seiten melden. Dies habe ich sofort mit beiden GitLab URLs gemacht, mit der Begründung den Dienst gibt es nicht mehr. Nach 1-2 Stunden waren dann alle Subdomains und die Hautpdomain wieder normal Erreichbar. Lediglich mail.windeln.nrw war noch nicht frei. Dies war so auch in der Search Console zu sehen. Anschließend habe ich mail.windeln.nrw auch dort als falsch erkannt eingetragen. Am Ende war vor dem Mittagessen alles wieder beim alten. Domain normal eingestuft und alle Dienste außer GitLab wieder auf *.windeln.nrw umgezogen.

Ich werde nun ca. 7 Tage warten, ob alles so bleibt und anschließend GitLab wieder auf git.windeln.nrw umziehen.