Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Links auf index-Seite werden verändert ausgegeben und führen ins Nirgendwo

Frage Internet Cloud-Dienste

Mitglied: werthersd

werthersd (Level 1) - Jetzt verbinden

06.02.2013 um 17:36 Uhr, 2517 Aufrufe, 13 Kommentare

Hallo!

Ich bin ratlos. Eine von mir erstellte Internetseite (tanzschule-innviertel.at) startet mit einer index-Seite, die im Grunde nur aus zwei Bildern besteht, die als Links auf zwei verwchiedene Seiten verzweigen sollen. Die Links werden seit ein paar Tagen von "bösen Mächten" so verändert, dass sie ins Nirgendwo führen. Der enthaltene "/" wird dabei entfernt und Großbuchstaben in Kleinbuchstaben umgewandelt. Wenn ich mir die Seite als Code darstellen lasse, ist alles wie es sich gehört...

Ich nehme mal an, dass da irgend ein Schadprogramm am Werk ist. Meine Fragen an Euch: Was kann das sein? Ist das schon bekannt? Gibt's Gegenmaßnahmen?

Danke für Eure Hilfe!

werthersd
Mitglied: catachan
06.02.2013 um 17:38 Uhr
Hi

wie lädst du die Dateien am Server hoch ? FTP ? Sind die Daten nach dem Hochladen schon verändert ? ICh glaube nicht dass es ein Schadprogramm ist. Solltest du das aber checken wollen, so frag mal bei dem Hoster nach ob er das überprüfen kann

LG
Bitte warten ..
Mitglied: werthersd
06.02.2013 um 17:50 Uhr
Danke für die rasche Antwort. Ich lad per Filezilla hoch. Die Daten sind eben seltsamerweise nicht verändert. Die Links werden im Code korrekt angezeigt, wenn ich in Firefox den Code sehen will. Anscheinend geht's erst los, wenn ich drauf klicke...
Bitte warten ..
Mitglied: catachan
06.02.2013, aktualisiert um 17:58 Uhr
Hi

für mich siehts so aus als wäre hier im Hintergrund eine rewriterule aktiv die nicht sauber läuft. Falls du das nicht selber gemacht hast dann bitte den Hoster kotaktieren

LG

Edit: Gib bei den Links vorne www. dazu (also http://www.tanzschule-innviertel.at/TI_index.html bzw. http://www.moveand.at/MA_index.html). Dann gehts
Bitte warten ..
Mitglied: drnatur
06.02.2013, aktualisiert um 18:15 Uhr
Bitte warten ..
Mitglied: werthersd
06.02.2013 um 18:26 Uhr
das funktioniert! Ich bin begeistert!

Seltsamerweise hat's mit der anderen Bezeichnung bis vor einigen tagen eh auch funktioniert. Da muss ich wohl tatsächlich mal mit dem Hoster reden...

Danke nochmal!

werthersd
Bitte warten ..
Mitglied: werthersd
06.02.2013 um 18:28 Uhr
Dieses Posting hab ich erst mal überlesen.

Oha, das klingt nicht gut. Kryptik ADZ also..

Was tun?
Bitte warten ..
Mitglied: drnatur
06.02.2013, aktualisiert um 18:46 Uhr
Das hatten wir doch neulich erst....Webseite mit Trojaner befallen
Ich zitiere meinen eigenen Beitrag (das darf ich, sogar ohne Doktortitel :-P)
Zitat von drnatur:
hallo,

Joomla-Installationen sind ein beliebtes Ziel von Angriffen. Dabei geht es meistens (wie bereits erwähnt) um irgendwelche
unsicheren Plugins/Module, o.ä.
Denn der Core von Joomla ist zu 99% sicher, bzw. wird sehr schnell sicher gemacht.
Was du dagegen tun kannst, hat certifiedit bereits kurz in seinem ersten Beitrag gut zusammengefasst.

Bei meiner letzten befallenen Joomla-Installation hab ich folgendes gemacht:
1.) Meinen PC überprüft. Es nützt nichts, auf einem befallenen PC Websiten aufzusetzen, da meist die Zugangsdaten
offen da liegen.
2.) Ein Backup der ganzen Seite (Dateien u. Datenbank) gemacht und dann alles am Webserver platt gemacht. (Wirklich alles!!)
3.) Den Hoster gebeten, auf Sicherheitslecks zu prüfen.
4.) Joomla neu installiert, dabei die Erweiterungen gegengecheckt:
http://www.joomla-security.de/sicherheitsmeldungen/unsichere-erweiterun ... bzw.
http://docs.joomla.org/Vulnerable_Extensions_List
5.) Datenbank manuell repariert, sprich die Verweise der nicht benötigten Plugins rausgeschmissen.
6.) Die Admin-Tools installiert
7.) Akeeba Backup installiert (sehr zu empfehlen, sogar in der kostenlosen Version)

und mich dann noch eingehend mit
Joomla Security bzw. [http://25yearsofprogramming.com/blog/20070705.htm How to prevent your
website from getting hacked]
beschäftigt.

Zur Online-Überprüfung meiner Seiten nutze ich auch noch Sucuri, (den
onlinelinkscan vom letzten Beitrag kannte ich noch nicht, vielen Dank )


mit freundlichen Grüßen,
drnatur

EDIT: Lies dir den oben erwähnten Beitrag mal durch. Für weitere Fragen sind wir gerne zur Stelle.
Bitte warten ..
Mitglied: catachan
06.02.2013 um 18:52 Uhr
Hi

@drnatur
also http://onlinelinkscan.com/ bringt mir keine Warnung wegen einer Vireninfektion. Bist du sicher dass es nichts lokales bei dir ist ?

LG
Bitte warten ..
Mitglied: werthersd
06.02.2013 um 18:52 Uhr
Ich hab da keine Joomla-Installation am Laufen. Das ist eine ganz normale html-site.

Ich vermute, dass ich da erst mal ein Problem mit einem Trojaner auf meinem PC hab. Beim Googlen kommt immer wieder der Vorschlag, den PC ganz neu aufzusetzen. Der JS/Kryptik.ADZ sei nicht gut zu bekämpfen und startet immer wieder von Neuem...

Das sind ja nette Aussichten!

werthersd
Bitte warten ..
Mitglied: drnatur
06.02.2013, aktualisiert um 19:21 Uhr
@catachan
Danke für den Hinweis!
Da Virustotal (https://www.virustotal.com/file/05c2b462e9f18b5dc5bc580bacf974a9418c1446 ...) etwas findet, bin ich mir ganz sicher, dass es nix lokales ist.

Zum eigentlichen Problem:
Das mit Joomla stammt nur aus dem vorherigen Beitrag, da der vorherige User eben eine Joomla-Installation verwendet hat.
Du sagst, du verwendest nur reine HTML-Dateien? Kein PHP o.ä.
Werden von irgendwo extern CSS oder JS-Dateien eingebunden?

Hast du eine Möglichkeit, von einem virenfreien PC eine Kopie deiner Website per FTP herunterzuladen?

liebe Grüße, drnatur
Bitte warten ..
Mitglied: werthersd
06.02.2013 um 20:30 Uhr
ich werd morgen alles am Server löschen, meinen PC frisch aufsetzen und dann von ganz von vorn...

inzwischen mal danke an alle

werthersd
Bitte warten ..
Mitglied: C.R.S.
06.02.2013, aktualisiert um 21:53 Uhr
Es ist die gleiche Infektion wie im anderen Thread:

2013-02-06 19:33:26 hxxp://www.tanzschule-innviertel.at/js/prototype.js 3CC4336101E4C20513F3B31D4DC37B29 77.244.243.43 AT Trojan.JS.Redirector.xb

2013-02-06 19:33:25 hxxp://www.tanzschule-innviertel.at/TI_index.html C1FE842C4E4BEC81FB316333BE1D4D1F 77.244.243.43 AT Trojan.JS.Redirector.xb

Das hat nichts mit Joomla zu tun. Die meisten Webseiteninfektionen erfolgen durch Bots, die abgegraste Credentials aus Browsern und FTP-Clients empfangen. Im Wesentlichen nur die Primärinfektionen zur Verbreitung der Passwort-Trojaner basieren auf CMS-Exploitation o.ä.

Grüße
Richard
Bitte warten ..
Mitglied: werthersd
09.02.2013 um 12:11 Uhr
Hallo!

Jetzt bin ich wieder da. Hab alles frisch aufgesetzt und installiert. Könnt Ihr mal testen, ob wieder Fehlermeldungen bzw. Warnungen kommen?
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
HTML
Captive Portal login Seite (2)

Frage von gansa28 zum Thema HTML ...

Windows 7
(Netzwerk)Drucker druckt nur eine Seite und bleibt dann stehen (5)

Frage von harald.schmidt zum Thema Windows 7 ...

Batch & Shell
Dateien kopieren die nicht mehr verändert werden? (10)

Frage von pbelcl zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...

Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...

Windows Server
RODC über VPN - Verbindung weg (10)

Frage von stefan2k1 zum Thema Windows Server ...