AdminTool Admin Tool zeigt Google Webseite, hackt Google Server?

[Don Claus]

Moin,
Google hat offensichtlich meine DS107+ mit DSM 3.1-1636 gehackt.
Während ich über IPad und INet auf Photos im User / PW geschützen Bereich zugegriffen habe, klinkte sich laut ApacheLog Google mit seinen Bots ein, und zwar auch auf den geschützen Verzeichnissen und Bildern..

Es existiert eine robots.txt und eine .htaccess, weil ich Botds und andere Vollpfosten so weit wie möglich sperren will.

Das Problem ist jetzt, dass im Admin Tool der Hintergrund mit einer Google Webseite gefüllt ist. Außerdem telefoniert der Server im Minutentakt "nach Hause?". Admin Tool flackert, arbeiten nicht möglich.
Offensichtlich hat Google eine script eingepflanzt, aber wo?
Mein Server ist seit dem abgeschaltet, weil im Prinzip unwichtig.Heute Morgen Schaltetet ich Ihn ein, weil ich Daten benötigte und siehe da, der erste Eintarg war ein Google Bot Eintrag.
Habe mal eine .pdf des Bildschirmausdruckes angehängt, vielleicht kann mir jemand oder Itari helfen, weil er ja sein Admin Tool auf ScriptEbene kennt.

Anhang anzeigen googlehacker.pdf
Wer kann mir helfen, dass das Admin Tool wieder sauber läuft?

gr

C.M.

 

[jahlives]

hast du das Script direkt hier aus dem Forum aus einem Thread von itari oder hast du dir das sonstwo runtergeladen?

 

[Don Claus]

Hallo,
das Admin Tool habe ich vor Jahren heruntergeladen, glaube aus dem Synology Forum hier. Es hat ja bis zu diesem Vorfall einwandfrei gelaufen. Ich kontrolliere damit (immer wenn Zeit ist) das Log und ändere/erweitere dann ggfls. die htaccess gegen bestimmte IP Adressen etc.
Das Tool läuft auch jetzt, aber eben mit dem "Flackern" und dieser Google Webseite im Hintergrund, die auch angeklickt werden kann !!!
Momentan habe ich den LAN Stecker gezogen, um die Syno nicht ständig rauf und runter zu fahren .
Habe schon daran gedacht, das Tool im Verzeichnis überzubügeln.

gr

Don Claus

 

[derniwi]

Hallo,

welche Pakete von welchen Quellen hast du sonst noch installiert?

Gruß
Nils

 

[Don Claus]

Hallo Nils,
habe noch phpmyadmin, Originalquelle, schon ewig drauf
webalyzer, schon ewig drauf

Wordpress 3.6.1,Originalquelle, Testinstallation, weil so grottenhaft langsam wie hier schon erörtert
und die neueste Joomla Vers. installiert, auch als Testinstallation. Von WP und Joomla bin ich der einzige User.
Alles lief bis letzte Woche, wo Google gehackt hat, einwandfrei.
WP und Joo laufen bisauf die Performanceproblem immer noch einwandfrei.
Mysql läuft sauber, ebenso Webalyzer.
Auch das Admin Tool läuft bis auf dieses neue Hintergrundbild/die Hintergrundwebseite (siehe pdf im ersten Eintrag).
Deshalb die Frage, wo könnte dieses dubiose Hintergrundbild gespeichert sein?

Falls jemand die LOG Einträge anschauen will, die habe ich herauskopiert und als txt File auf der Platte.

gr

Don Claus

 

[Alfons403]

Jeep!
Danke für den Hinweis, bei mir wird auch beim Admin Tool die Google Startseite
angezeigt und die ist auch in Funktion, das heist die Links funktionieren.
Das Toll ist 100% aus Atari's Quelle und seit diversen DSM Updates nicht neu
installiert worden.
Es fällt zuerst deswegen nicht auf weil der Copyright Hinweis fasst alles
verdeckt und der "Hintergrund" ein bischen verzögert aufgebaut wird.

 

[Don Claus]

Das Problem ist, dass jede Minute "gepollt" wird.
Alle Fenster verschwinden nacheinander kurz und kommen dann wieder, der Inhalt der Felder steht sonstwo.
So kann ich die Logs nicht sichten und andere auch schreibende Funktionen unternehmen.
Das ist definitiv ein unerwünschter Eingriff von Google, der vorher nicht war.

Deshalb die Frage, wo die Scripte zu findne sind und welches Script den normalerweise blanken Hintergrund beinhaltet.

Don Claus

 

[Matthieu]

Ich bin mir ziemlich sicher dass es mit der Abfrage der Außentemperatur von Frankfurt zu tun hat ... findet jemand wo das festgelegt ist, bzw. wo das AdminTool früher nachgesehen hat? Schon seltsam dass diese Seite plötzlich auf Google weiterleitet.
Ein Eingriff/Angriff von Google ist IMHO aber nicht zu erkennen! Der Browser lädt Google eindeutig nach!

MfG Matthieu

 

[Don Claus]

Moin Moin,
bis zu besagtem Überfall von Google auf meine kleine,unbedeutende Syno war der Hintergrund blank und das "Pollen" war nicht da.
Google hat sich nach dem Protokollauszug auch auf Verzeichnissen rumgetrieben, die eindeutig nur (oder sollten??) mit Username und PW zu erreichen sind.
Ergo:
Google hat etwas "eingpflanzt", um von innen heraus die Seiten zu checken.
Weitergetrieben erhöht dieses ständige Pollen die Datenmenge, die täglich über den DSL läuft und wenn man keine Flat hat!!!
mfg

 

[Don Claus]

Wo muss ich nach den Dateien des Admin Tool suchen?
Vielleicht fällt mir ja was auf und: da war noch was:
als ich den Angriff bemerkt habe, habe ich 2 Dateien mit google_xx_xx gefunden und umbenannt.
Dies Dateien waren im Protokoll aufgeführt.

gr

 

[Merthos]

header.cgi Zeile 50: wget -O - "http://www.google.com/ig/api?weather="$LOCATION....

Und das gibt es nicht mehr.

 

[Matthieu]

Ergo:
Google hat etwas "eingpflanzt", um von innen heraus die Seiten zu checken.

Trugschluss. Google bemerkt (ich vermute mal per Referer im HTTP-Header), dass über eine bestimmte URL auf die eigene Seite zugegriffen wird. Man kann sich darüber streiten wie Google zu seinem Index kommt, aber zu tracken wo möglicherweise defekte Links (wie Merthos ja herausgefunden hat) herumliegen halte ich für durchaus legitim. Wird darüber viel Traffic erzeugt, kann man den Betreiber darauf aufmerksam machen.

Merthos hat ja nun die eigentliche Auflösung gepostet ...

MfG Matthieu

 

[nageniil]

Der Tipp von Merthos ist goldrichtig!
Neulich hatte ich nach langer Zeit mal wieder das AdminTool benutzt und mich bereits gewundert, warum da ewig "Loading" im oberen schwarzen Balken steht.
Heute getestet und das Loading verschwand, dafür kam dann die Google-Startseite.
OK: im AdminTool gibts ja unten den Punkt "Admin Tool Configuration" - hierüber die von Merthos erwähnte headre.cgi im Editor-Modus bearbeiten und die besagte Zeile auskommentieren (# davor schreiben).
Admin Tool schließen und neu aufrufen: schwups, die Googleseite ist weg.
Im schwarzen Balken oben steht zwar eine kleines "Failed to execute...", aber das lässt sich verschmerzen, das Wetter war eh nur ein netter Gag...
Wer will, kann sich ja hier einen anderen Gimmick einbauen...

 

[Don Claus]

Hallo, (2.Versuch nach Rauswurf wegen Zeitüberschreitung??)

Danke, Danke, fühlt euch geknutscht. Das war es.
Habe den Eintrag gefunden und eliminiert, sieht wieder alles aus wie vor dem "Google Überfall".
Auch das "Pollen/Bildflackern" ist wieder weg.
Da ich täglich mit dem Tool z.B. die Log Datei anschaue, kann ich sehr genau den Zeitraum bestimmen, seit wann das so war.

Bleibt nur noch die Frage, warum Google "Post" Befehle schickt!!

66.249.78.185 - - [14/Nov/2013:21:18:43 +0100] "POST /photo/include/ajax_handler.php HTTP/1.1" 200 212 "http://xxx/photo/photo_one.php?dir=4f6c6474696d6572&name=494d475f313236302e4a5047" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
66.249.78.185 - - [14/Nov/2013:21:18:44 +0100] "POST /photo/include/ajax_handler.php HTTP/1.1" 200 229 "http://xxx.org/photo/photo_one.php?dir=4f6c6474696d6572&name=494d475f303130332e6a7067" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
66.249.78.185 - - [14/Nov/2013:21:20:00 +0100] "POST /blog/include/article.php HTTP/1.1" 200 24 "http://xxx.org/blog/index.php?page=18" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
66.249.78.185 - - [14/Nov/2013:21:20:01 +0100] "POST /blog/modules/photo_slide.php HTTP/1.1" 200 259 "http://xxx.org/blog/index.php?page=18" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
66.249.78.185 - - [14/Nov/2013:21:20:01 +0100] "POST /blog/modules/article_collection.php HTTP/1.1" 200 130 "http://xx.org/blog/index.php?page=18" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"..

Sicher gibts dafür auch eine erklärung.

gr
PS.: die 1.Version war besser, aber nach dem Antwortversuch flog ich raus. Sind die Zeiten evtl. zu restriktiv eingestellt?