"Als attackierend gemeldete Webseite" eingestuft

[chrisi10]

Hallo an alle

Ich verwalte 5 Domains, bei zwei utc-wy.com und uvc-waidhofenybbs.com bekomme ich im Firefox (3.6.8 ) "Als attackierend gemeldete Webseite" eingestuft. Nun hab ich die beiden Domains mit dem Google Webmastertool geprüft und bekomme folgende Meldungen:




Wenn ich die Seite aufrufe bekomme ich im Firefox diese Meldung:



Wenn ich dann auf den Button "Warum wurd diese Website blokiert?" klicke, komme ich auf diese Seite.




Wenn ich dann auf den Link "redircicle.com/." klicke, komme ich auf diese Seite.





Wenn ich dann auf den Link "AS24940 (HETZNER)" klicke, komme ich auf diese Seite.




Ich kann mit dem nicht viel anfangen. Ist hier für euch ersichtlich welche Schadsoftware ich mir da eingefangen habe? Mein Hoster ist Hoststare. Der Support ist erst wieder am Donnerstag erreichbar.

Herzlichen Dank
Christof

[wildmieze]

Wie schaut denn der Quelltext auf Deinen Seiten aus? Ist da irgendwas drin, was Du da nicht reingeschrieben hast? Kannst auch mal mit nem ftp-Programm gucken, wann die Dateien auf dem Server zum letzten Mal geändert wurden, und ob das Datum mit Deinen letzten Änderungen übereinstimmt ..
Wenn Du den fremden Code entfernt hast, kannst Du - wie es im ersten Abschnitt auch steht - die Seite zur Überprüfung anmelden .. und nach ein paar Wochen (bei mir warens 3 oder 4) ist der Spuk dann vorbei.
So kenne ich das zumindest - in meinem Fall wurde der Webserver angegriffen und dutzende Pornolinks unsichtbar auf alle Webseiten gesetzt .. vielleicht war es bei Dir was Ähnliches .. vielleicht hat es aber auch nix damit zu tun und ich rede gerade irrelevantes Zeug - aber die Quelltexte mal zu prüfen kann ja nicht verkehrt sein^^

[Frangulus]

Ich kann mit dem nicht viel anfangen. Ist hier für euch ersichtlich welche Schadsoftware ich mir da eingefangen habe? Mein Hoster ist Hoststare. Der Support ist erst wieder am Donnerstag erreichbar.

Herzlichen Dank
Christof

Welche das ist, kann ich da auch nicht erkennen. Aber ganz offensichtlich ist welche da.
Du solltest dorintias Vorschlag umgehend umsetzen und die Dateien auf dem Server prüfen.
Noch besser alles löschen und Dein letztes sauberes Backup einspielen.

Und ein Hoster dessen Support tagelang nicht erreichbar ist scheint mir nicht die beste Lösung zu sein.

[maxi89]

Der Quelltext der Seite sieht auf jeden Fall schonmal merkwürdig aus.
Da tauchen an einer Stelle - ich blicke durch diese extrem verschachtelten Tabellen nichtmal mit Firebug richtig durch - viele hundert Links auf, die alle außerhalb des sichtbaren Bereichs positioniert wurden.

[chrisi10]

@wildmieze

Wie schaut denn der Quelltext auf Deinen Seiten aus? Ist da irgendwas drin, was Du da nicht reingeschrieben hast?

Da es sich um ein CMS handelt, hab ich keinen Code selber geschrieben.

Kannst auch mal mit nem ftp-Programm gucken, wann die Dateien auf dem Server zum letzten Mal geändert wurden

Hab ich schon gemacht, alle Dateien haben das selbe Datum.

@frangulus

Und ein Hoster dessen Support tagelang nicht erreichbar ist scheint mir nicht die beste Lösung zu sein.

Support per Mail geht immer, nur telefonisch halt erst ab Do. wieder.

@maxi89
Hi, die Erweiterung Firebug kannte ich noch nicht. Sieht sehr interessant aus. Ich denke, dass sich das Hoststar mal genauer ansehen muss.
Ich hab auch schon die gesamte Datenbank exportiert und auf Einträge überprüft. Hat aber nichts gefunden. Irgendwie muss der Code ja eingebunden werden. Ich sehe da viel Arbeit auf mich zukommen.
Auf jeden Fall mal ein herzliches Dankeschön an euch.

Grüße
Christof

[wildmieze]

Hmm .. daß alle Dateien dasselbe Datum haben finde ich ja schon verdächtig^^
... in meinem Fall hatten sich die Links nur in das CMS-Template gesetzt. Ich vermute, weil diese die Endung .htm tragen .. da würd ich zuerst gucken. Danach kannste ja mal alle Dateien runterladen und über "Suche in Dateien" (o.ä.) nach den Links suchen. Eine Suche nach "celecoxib" könnte schon reichen, ich kann mir nicht vorstellen, daß das Wort sonst noch irgendwo vorkommt

[His.Master's.Voice]

Hallo Christof,

dein Problem werden die von maxi angesprochenen Tabellen sein mit den dort hunderten eingebetteten Links <a h r ef="....">blabla</a>.
Google ist nicht doof und stuft die Seiten daher als Spam-Schleudern ein, erst recht weil die Links per style Anweisung aus dem
sichtbaren Bereich des Browsers herausgeschoben werden. Das sieht ein Blinder, dass da jemand was zu verstecken hat.

Damit können die bösen Jungs im Netz natürlich viel machen.
a) ist dies Spam um Google eine große Verlinkung vorzutäuschen.
b) Kann dadurch ein sog. Link Prefetching erreicht werden, d.h. vorladen von Inhalten von den verlinkten, fremden Seiten.
Damit steht die Hintertür offen um fremden Code im Browser des Besuchers auszuführen. Und die Tür, Tor ist so groß, dass da eine Boeing 747 durchbrausen kann. Ich denke da an sog. Exploits die in Grafiken, Bildern, Videos und mittlerweile auch PDF-Dateien versteckt sind. D.h. in äusserlich harmlos anmutenden Sachen wird
sog. Shell Code versteckt. Shell Code sind Maschinensprachebefehle die im Speicher des Rechners ausgeführt werden.
Da wird ziemlich tief in die Trickkiste gegriffen um letztendlich Malware, Würmer, Trojaner aus dem Netz unbemerkt auf den Rechner des Besuchers
nachzuladen.

Nun, wie kommen diese Links, Sachen in die Seiten:
a) Sicherheitslücken, ungeschütze Verzeichnissse auf dem Webserver (Rechte-Handling)
b) Alte CMS-Software im Einsatz, daher auf neueste Versionen updaten. Gerade die bekannten CMS'en, wie Drupal, Typo3, Joomla etc. sind gern Ziel für Attacken.

[joekeys]

Als attackierend gemeldete Website – wer kann mir helfen?

Hallo kann mir jemand helfen, bitte
Schon zum zweiten mal würde meine Seite gesperrt. Ich weis nicht was ich tun kann.
hab keine -ahnung

[Frangulus]

hab keine -ahnung

Einen schönen guten Moorgen,
natürlich nicht, sonst wäre es Dir auch nicht zum zweiten Mal passiert.
Helfen kann Dir eventuell jemand, den Du denjenigen ordentlich begrüßt und wenn Du evtl. ein paar Informationen über das Problem mitteilst.

Sonst kann es sein:
- Trojaner auf Deinem PC
- Trojaner auf Deinem Web-Server
- ausgespähte Passwörter
- Bugs in der Software (Lokal und Server)
- veraltete Software-Versionen
- Bugs / Lücken beim Hoster (Co-Hosting)
- Social Hacking / Social Engenieering
- etc.

[joekeys]

hallo Thomas
danke für dein tip
kannst du mir bitte helfen

hab neue Ftp Passwort geändert
komplete rechner Viren einscannt

steht immer noch so dieser rote Schild


Wie wird absolutgoods.de/shop momentan eingestuft?

Diese Website ist momentan als verdächtig eingestuft und kann Ihren Computer beschädigen.

Ein Teil dieser Website wurde aufgrund verdächtiger Aktivitäten in den letzten 90 Tagen 1 mal auf die Liste gesetzt.

Was ist passiert, als Google diese Website aufgerufen hat?

In den letzen 90 Tagen haben wir 348 Seiten der Website überprüft. Dabei haben wir auf 1 Seite(n) festgestellt, dass Malware (schädliche Software) ohne Einwilligung des Nutzers heruntergeladen und installiert wurde. Der letzte Besuch von Google war am 2012-02-07. Verdächtiger Content wurde auf dieser Website zuletzt am 2012-02-07 gefunden.

Malware wird auf 1 Domain(s) gehostet (z. B. mallazo.osa.pl/).

Diese Website wurde über 1 Netzwerk(e) gehostet (z. B. AS34788 (NMM)).

Hat diese Website als Überträger zur Weiterverbreitung von Malware fungiert?

absolutgoods.de/shop hat in den letzten 90 Tagen scheinbar nicht als Überträger für die Infizierung von Websites fungiert.

Hat diese Website Malware gehostet?

Nein. Diese Website hat in den letzten 90 Tagen keine Malware gehostet.

Wie ist es zu dieser Einstufung gekommen?

Gelegentlich wird von Dritten bösartiger Code in legitime Websites eingefügt. In diesem Fall wird unsere Warnmeldung angezeigt.

Nächste Schritte:

[wildmieze]

...so.. nachdem ich jetzt seit 3 Stunden versuche,meinen Rechner wieder zum Laufen zu kriegen, kann ich zumindest sagen, daß Deine Seite "verseucht" ist ..ich geh jetzt in die Ecke und schäme mich, weil ich immer noch zu blöd bin, meinen Computer richtig zu schützen ..*kopf* -> *tisch*

[Frangulus]

Hi,

1. Nimm bitte den Link zur verseuchten Seite aus Deinem Posting
2. Deine Seite offline schalten und die Lücke suchen (evtl. mit Hilfe des Supports des Hosters)
3. Auf dem Server alles löschen, evtl. mit Hilfe des Supports des Hosters
4. Mit einer Rettungs-CD (Knoppix oder ähnl.) Deinen PC booten und untersuchen
5. Wenn Dein PC sauber ist, alle Passwörter ändern
6. Serversoftware (Shop) prüfen ob Updates vorhanden sind, wenn ja diese Updates durchführen (lokal mit XAMPP)
7. Auf dem Server das letzte saubere Backup aufspielen

Siehe auch hier: (das ist zwar für Joomla, vieles davon ist aber auf jede Webseite anwendbar)
https://www.fc-hosting.de/joomla/tip...la-gehackt.php

[Cold]

...so.. nachdem ich jetzt seit 3 Stunden versuche,meinen Rechner wieder zum Laufen zu kriegen

Schon etwas von Sandbox gehört?

[wildmieze]

Joah, schon .. aber heute morgen so im Halbschlaf .. dachte so an "sind bestimmt wieder Pornolinks", und schwupps, wars zu spät .. bin übrigens immer noch dran, manche Dinger hier sind hartnäckig .. aber immerhin startet Windows wieder, und seit dem drölfzigsten Virenscan und Neustart hab ich auch wieder meine Dateien aufm Desktop .. so langsam wirds was *lol*

[Cold]

Dein Sicherheitskonzept solltest du überdenken. Man kann schon jahrelang als Admin surfen, aber bitte genau lesen worauf man klickt.