13
Links auf index-Seite werden verändert ausgegeben und führen ins Nirgendwo
Hallo!
Ich bin ratlos. Eine von mir erstellte Internetseite (tanzschule-innviertel.at) startet mit einer index-Seite, die im Grunde nur aus zwei Bildern besteht, die als Links auf zwei verwchiedene Seiten verzweigen sollen. Die Links werden seit ein paar Tagen von "bösen Mächten" so verändert, dass sie ins Nirgendwo führen. Der enthaltene "/" wird dabei entfernt und Großbuchstaben in Kleinbuchstaben umgewandelt. Wenn ich mir die Seite als Code darstellen lasse, ist alles wie es sich gehört...
Ich nehme mal an, dass da irgend ein Schadprogramm am Werk ist. Meine Fragen an Euch: Was kann das sein? Ist das schon bekannt? Gibt's Gegenmaßnahmen?
Danke für Eure Hilfe!
werthersd
Ich bin ratlos. Eine von mir erstellte Internetseite (tanzschule-innviertel.at) startet mit einer index-Seite, die im Grunde nur aus zwei Bildern besteht, die als Links auf zwei verwchiedene Seiten verzweigen sollen. Die Links werden seit ein paar Tagen von "bösen Mächten" so verändert, dass sie ins Nirgendwo führen. Der enthaltene "/" wird dabei entfernt und Großbuchstaben in Kleinbuchstaben umgewandelt. Wenn ich mir die Seite als Code darstellen lasse, ist alles wie es sich gehört...
Ich nehme mal an, dass da irgend ein Schadprogramm am Werk ist. Meine Fragen an Euch: Was kann das sein? Ist das schon bekannt? Gibt's Gegenmaßnahmen?
Danke für Eure Hilfe!
werthersd
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 201358
Url: https://administrator.de/contentid/201358
Printed on: April 26, 2024 at 08:04 o'clock
13 Comments
Latest comment
Hi
wie lädst du die Dateien am Server hoch ? FTP ? Sind die Daten nach dem Hochladen schon verändert ? ICh glaube nicht dass es ein Schadprogramm ist. Solltest du das aber checken wollen, so frag mal bei dem Hoster nach ob er das überprüfen kann
LG
wie lädst du die Dateien am Server hoch ? FTP ? Sind die Daten nach dem Hochladen schon verändert ? ICh glaube nicht dass es ein Schadprogramm ist. Solltest du das aber checken wollen, so frag mal bei dem Hoster nach ob er das überprüfen kann
LG
Danke für die rasche Antwort. Ich lad per Filezilla hoch. Die Daten sind eben seltsamerweise nicht verändert. Die Links werden im Code korrekt angezeigt, wenn ich in Firefox den Code sehen will. Anscheinend geht's erst los, wenn ich drauf klicke...
Hi
für mich siehts so aus als wäre hier im Hintergrund eine rewriterule aktiv die nicht sauber läuft. Falls du das nicht selber gemacht hast dann bitte den Hoster kotaktieren
LG
Edit: Gib bei den Links vorne www. dazu (also http://www.tanzschule-innviertel.at/TI_index.html bzw. http://www.moveand.at/MA_index.html). Dann gehts
LG
Edit: Gib bei den Links vorne www. dazu (also http://www.tanzschule-innviertel.at/TI_index.html bzw. http://www.moveand.at/MA_index.html). Dann gehts
also ich glaube, du hast ein ernstes Problem:
Mein Virenschutz (ESET Smart Security 5) meldet, dass auf allen Seiten ein Trojaner am Werk ist
http://www.moveand.at/SpryAssets/SpryMenuBar.js JS/Kryptik.ADZ Trojaner
http://www.moveand.at/js/prototype.js JS/Kryptik.ADZ
http://www.moveand.at/js/lightbox.js JS/Kryptik.ADZ
http://www.moveand.at/js/scriptaculous.js?load=effects,builder JS/Kryptik.ADZ
http://www.moveand.at/MA_index.html JS/Kryptik.ADZ
http://www.tanzschule-innviertel.at/js/prototype.js JS/Kryptik.ADZ
http://www.tanzschule-innviertel.at/SpryAssets/SpryMenuBar.js JS/Kryptik.ADZ
http://www.tanzschule-innviertel.at/js/lightbox.js JS/Kryptik.ADZ
http://www.tanzschule-innviertel.at/js/scriptaculous.js?load=effects,bu ... JS/Kryptik.ADZ
Mein Virenschutz (ESET Smart Security 5) meldet, dass auf allen Seiten ein Trojaner am Werk ist
http://www.moveand.at/SpryAssets/SpryMenuBar.js JS/Kryptik.ADZ Trojaner
http://www.moveand.at/js/prototype.js JS/Kryptik.ADZ
http://www.moveand.at/js/lightbox.js JS/Kryptik.ADZ
http://www.moveand.at/js/scriptaculous.js?load=effects,builder JS/Kryptik.ADZ
http://www.moveand.at/MA_index.html JS/Kryptik.ADZ
http://www.tanzschule-innviertel.at/js/prototype.js JS/Kryptik.ADZ
http://www.tanzschule-innviertel.at/SpryAssets/SpryMenuBar.js JS/Kryptik.ADZ
http://www.tanzschule-innviertel.at/js/lightbox.js JS/Kryptik.ADZ
http://www.tanzschule-innviertel.at/js/scriptaculous.js?load=effects,bu ... JS/Kryptik.ADZ
das funktioniert! Ich bin begeistert!
Seltsamerweise hat's mit der anderen Bezeichnung bis vor einigen tagen eh auch funktioniert. Da muss ich wohl tatsächlich mal mit dem Hoster reden...
Danke nochmal!
werthersd
Seltsamerweise hat's mit der anderen Bezeichnung bis vor einigen tagen eh auch funktioniert. Da muss ich wohl tatsächlich mal mit dem Hoster reden...
Danke nochmal!
werthersd
Dieses Posting hab ich erst mal überlesen.
Oha, das klingt nicht gut. Kryptik ADZ also..
Was tun?
Oha, das klingt nicht gut. Kryptik ADZ also..
Was tun?
Das hatten wir doch neulich erst....Webseite mit Trojaner befallen
Ich zitiere meinen eigenen Beitrag (das darf ich, sogar ohne Doktortitel :-P)
mit freundlichen Grüßen,
drnatur
EDIT: Lies dir den oben erwähnten Beitrag mal durch. Für weitere Fragen sind wir gerne zur Stelle.
Ich zitiere meinen eigenen Beitrag (das darf ich, sogar ohne Doktortitel :-P)
Zitat von @drnatur:
hallo,
Joomla-Installationen sind ein beliebtes Ziel von Angriffen. Dabei geht es meistens (wie bereits erwähnt) um irgendwelche
unsicheren Plugins/Module, o.ä.
Denn der Core von Joomla ist zu 99% sicher, bzw. wird sehr schnell sicher gemacht.
Was du dagegen tun kannst, hat certifiedit bereits kurz in seinem ersten Beitrag gut zusammengefasst.
Bei meiner letzten befallenen Joomla-Installation hab ich folgendes gemacht:
1.) Meinen PC überprüft. Es nützt nichts, auf einem befallenen PC Websiten aufzusetzen, da meist die Zugangsdaten
offen da liegen.
2.) Ein Backup der ganzen Seite (Dateien u. Datenbank) gemacht und dann alles am Webserver platt gemacht. (Wirklich alles!!)
3.) Den Hoster gebeten, auf Sicherheitslecks zu prüfen.
4.) Joomla neu installiert, dabei die Erweiterungen gegengecheckt:
http://www.joomla-security.de/sicherheitsmeldungen/unsichere-erweiterun ... bzw.
http://docs.joomla.org/Vulnerable_Extensions_List
5.) Datenbank manuell repariert, sprich die Verweise der nicht benötigten Plugins rausgeschmissen.
6.) Die Admin-Tools installiert
7.) Akeeba Backup installiert (sehr zu empfehlen, sogar in der kostenlosen Version)
und mich dann noch eingehend mit
Joomla Security bzw. [http://25yearsofprogramming.com/blog/20070705.htm How to prevent your
website from getting hacked]
beschäftigt.
Zur Online-Überprüfung meiner Seiten nutze ich auch noch Sucuri, (den
onlinelinkscan vom letzten Beitrag kannte ich noch nicht, vielen Dank
)
hallo,
Joomla-Installationen sind ein beliebtes Ziel von Angriffen. Dabei geht es meistens (wie bereits erwähnt) um irgendwelche
unsicheren Plugins/Module, o.ä.
Denn der Core von Joomla ist zu 99% sicher, bzw. wird sehr schnell sicher gemacht.
Was du dagegen tun kannst, hat certifiedit bereits kurz in seinem ersten Beitrag gut zusammengefasst.
Bei meiner letzten befallenen Joomla-Installation hab ich folgendes gemacht:
1.) Meinen PC überprüft. Es nützt nichts, auf einem befallenen PC Websiten aufzusetzen, da meist die Zugangsdaten
offen da liegen.
2.) Ein Backup der ganzen Seite (Dateien u. Datenbank) gemacht und dann alles am Webserver platt gemacht. (Wirklich alles!!)
3.) Den Hoster gebeten, auf Sicherheitslecks zu prüfen.
4.) Joomla neu installiert, dabei die Erweiterungen gegengecheckt:
http://www.joomla-security.de/sicherheitsmeldungen/unsichere-erweiterun ... bzw.
http://docs.joomla.org/Vulnerable_Extensions_List
5.) Datenbank manuell repariert, sprich die Verweise der nicht benötigten Plugins rausgeschmissen.
6.) Die Admin-Tools installiert
7.) Akeeba Backup installiert (sehr zu empfehlen, sogar in der kostenlosen Version)
und mich dann noch eingehend mit
Joomla Security bzw. [http://25yearsofprogramming.com/blog/20070705.htm How to prevent your
website from getting hacked]
beschäftigt.
Zur Online-Überprüfung meiner Seiten nutze ich auch noch Sucuri, (den
onlinelinkscan vom letzten Beitrag kannte ich noch nicht, vielen Dank
)mit freundlichen Grüßen,
drnatur
EDIT: Lies dir den oben erwähnten Beitrag mal durch. Für weitere Fragen sind wir gerne zur Stelle.
Hi
@drnatur
also http://onlinelinkscan.com/ bringt mir keine Warnung wegen einer Vireninfektion. Bist du sicher dass es nichts lokales bei dir ist ?
LG
@drnatur
also http://onlinelinkscan.com/ bringt mir keine Warnung wegen einer Vireninfektion. Bist du sicher dass es nichts lokales bei dir ist ?
LG
Ich hab da keine Joomla-Installation am Laufen. Das ist eine ganz normale html-site.
Ich vermute, dass ich da erst mal ein Problem mit einem Trojaner auf meinem PC hab. Beim Googlen kommt immer wieder der Vorschlag, den PC ganz neu aufzusetzen. Der JS/Kryptik.ADZ sei nicht gut zu bekämpfen und startet immer wieder von Neuem...
Das sind ja nette Aussichten!
werthersd
Ich vermute, dass ich da erst mal ein Problem mit einem Trojaner auf meinem PC hab. Beim Googlen kommt immer wieder der Vorschlag, den PC ganz neu aufzusetzen. Der JS/Kryptik.ADZ sei nicht gut zu bekämpfen und startet immer wieder von Neuem...
Das sind ja nette Aussichten!
werthersd
@catachan
Danke für den Hinweis!
Da Virustotal (https://www.virustotal.com/file/05c2b462e9f18b5dc5bc580bacf974a9418c1446 ..) etwas findet, bin ich mir ganz sicher, dass es nix lokales ist.
Zum eigentlichen Problem:
Das mit Joomla stammt nur aus dem vorherigen Beitrag, da der vorherige User eben eine Joomla-Installation verwendet hat.
Du sagst, du verwendest nur reine HTML-Dateien? Kein PHP o.ä.
Werden von irgendwo extern CSS oder JS-Dateien eingebunden?
Hast du eine Möglichkeit, von einem virenfreien PC eine Kopie deiner Website per FTP herunterzuladen?
liebe Grüße, drnatur
Danke für den Hinweis!
Da Virustotal (https://www.virustotal.com/file/05c2b462e9f18b5dc5bc580bacf974a9418c1446 ..) etwas findet, bin ich mir ganz sicher, dass es nix lokales ist.
Zum eigentlichen Problem:
Das mit Joomla stammt nur aus dem vorherigen Beitrag, da der vorherige User eben eine Joomla-Installation verwendet hat.
Du sagst, du verwendest nur reine HTML-Dateien? Kein PHP o.ä.
Werden von irgendwo extern CSS oder JS-Dateien eingebunden?
Hast du eine Möglichkeit, von einem virenfreien PC eine Kopie deiner Website per FTP herunterzuladen?
liebe Grüße, drnatur
ich werd morgen alles am Server löschen, meinen PC frisch aufsetzen und dann von ganz von vorn...
inzwischen mal danke an alle
werthersd
inzwischen mal danke an alle
werthersd
Es ist die gleiche Infektion wie im anderen Thread:
2013-02-06 19:33:26 hxxp:www.tanzschule-innviertel.at/js/prototype.js 3CC4336101E4C20513F3B31D4DC37B29 77.244.243.43 AT Trojan.JS.Redirector.xb
2013-02-06 19:33:25 hxxp:www.tanzschule-innviertel.at/TI_index.html C1FE842C4E4BEC81FB316333BE1D4D1F 77.244.243.43 AT Trojan.JS.Redirector.xb
Das hat nichts mit Joomla zu tun. Die meisten Webseiteninfektionen erfolgen durch Bots, die abgegraste Credentials aus Browsern und FTP-Clients empfangen. Im Wesentlichen nur die Primärinfektionen zur Verbreitung der Passwort-Trojaner basieren auf CMS-Exploitation o.ä.
Grüße
Richard
2013-02-06 19:33:26 hxxp:www.tanzschule-innviertel.at/js/prototype.js 3CC4336101E4C20513F3B31D4DC37B29 77.244.243.43 AT Trojan.JS.Redirector.xb
2013-02-06 19:33:25 hxxp:www.tanzschule-innviertel.at/TI_index.html C1FE842C4E4BEC81FB316333BE1D4D1F 77.244.243.43 AT Trojan.JS.Redirector.xb
Das hat nichts mit Joomla zu tun. Die meisten Webseiteninfektionen erfolgen durch Bots, die abgegraste Credentials aus Browsern und FTP-Clients empfangen. Im Wesentlichen nur die Primärinfektionen zur Verbreitung der Passwort-Trojaner basieren auf CMS-Exploitation o.ä.
Grüße
Richard
Hallo!
Jetzt bin ich wieder da. Hab alles frisch aufgesetzt und installiert. Könnt Ihr mal testen, ob wieder Fehlermeldungen bzw. Warnungen kommen?
Jetzt bin ich wieder da. Hab alles frisch aufgesetzt und installiert. Könnt Ihr mal testen, ob wieder Fehlermeldungen bzw. Warnungen kommen?