Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Links auf index-Seite werden verändert ausgegeben und führen ins Nirgendwo

Frage Internet Cloud-Dienste

Mitglied: werthersd

werthersd (Level 1) - Jetzt verbinden

06.02.2013 um 17:36 Uhr, 2583 Aufrufe, 13 Kommentare

Hallo!

Ich bin ratlos. Eine von mir erstellte Internetseite (tanzschule-innviertel.at) startet mit einer index-Seite, die im Grunde nur aus zwei Bildern besteht, die als Links auf zwei verwchiedene Seiten verzweigen sollen. Die Links werden seit ein paar Tagen von "bösen Mächten" so verändert, dass sie ins Nirgendwo führen. Der enthaltene "/" wird dabei entfernt und Großbuchstaben in Kleinbuchstaben umgewandelt. Wenn ich mir die Seite als Code darstellen lasse, ist alles wie es sich gehört...

Ich nehme mal an, dass da irgend ein Schadprogramm am Werk ist. Meine Fragen an Euch: Was kann das sein? Ist das schon bekannt? Gibt's Gegenmaßnahmen?

Danke für Eure Hilfe!

werthersd
Mitglied: catachan
06.02.2013 um 17:38 Uhr
Hi

wie lädst du die Dateien am Server hoch ? FTP ? Sind die Daten nach dem Hochladen schon verändert ? ICh glaube nicht dass es ein Schadprogramm ist. Solltest du das aber checken wollen, so frag mal bei dem Hoster nach ob er das überprüfen kann

LG
Bitte warten ..
Mitglied: werthersd
06.02.2013 um 17:50 Uhr
Danke für die rasche Antwort. Ich lad per Filezilla hoch. Die Daten sind eben seltsamerweise nicht verändert. Die Links werden im Code korrekt angezeigt, wenn ich in Firefox den Code sehen will. Anscheinend geht's erst los, wenn ich drauf klicke...
Bitte warten ..
Mitglied: catachan
06.02.2013, aktualisiert um 17:58 Uhr
Hi

für mich siehts so aus als wäre hier im Hintergrund eine rewriterule aktiv die nicht sauber läuft. Falls du das nicht selber gemacht hast dann bitte den Hoster kotaktieren

LG

Edit: Gib bei den Links vorne www. dazu (also http://www.tanzschule-innviertel.at/TI_index.html bzw. http://www.moveand.at/MA_index.html). Dann gehts
Bitte warten ..
Mitglied: drnatur
06.02.2013, aktualisiert um 18:15 Uhr
Bitte warten ..
Mitglied: werthersd
06.02.2013 um 18:26 Uhr
das funktioniert! Ich bin begeistert!

Seltsamerweise hat's mit der anderen Bezeichnung bis vor einigen tagen eh auch funktioniert. Da muss ich wohl tatsächlich mal mit dem Hoster reden...

Danke nochmal!

werthersd
Bitte warten ..
Mitglied: werthersd
06.02.2013 um 18:28 Uhr
Dieses Posting hab ich erst mal überlesen.

Oha, das klingt nicht gut. Kryptik ADZ also..

Was tun?
Bitte warten ..
Mitglied: drnatur
06.02.2013, aktualisiert um 18:46 Uhr
Das hatten wir doch neulich erst....Webseite mit Trojaner befallen
Ich zitiere meinen eigenen Beitrag (das darf ich, sogar ohne Doktortitel :-P)
Zitat von drnatur:
hallo,

Joomla-Installationen sind ein beliebtes Ziel von Angriffen. Dabei geht es meistens (wie bereits erwähnt) um irgendwelche
unsicheren Plugins/Module, o.ä.
Denn der Core von Joomla ist zu 99% sicher, bzw. wird sehr schnell sicher gemacht.
Was du dagegen tun kannst, hat certifiedit bereits kurz in seinem ersten Beitrag gut zusammengefasst.

Bei meiner letzten befallenen Joomla-Installation hab ich folgendes gemacht:
1.) Meinen PC überprüft. Es nützt nichts, auf einem befallenen PC Websiten aufzusetzen, da meist die Zugangsdaten
offen da liegen.
2.) Ein Backup der ganzen Seite (Dateien u. Datenbank) gemacht und dann alles am Webserver platt gemacht. (Wirklich alles!!)
3.) Den Hoster gebeten, auf Sicherheitslecks zu prüfen.
4.) Joomla neu installiert, dabei die Erweiterungen gegengecheckt:
http://www.joomla-security.de/sicherheitsmeldungen/unsichere-erweiterun ... bzw.
http://docs.joomla.org/Vulnerable_Extensions_List
5.) Datenbank manuell repariert, sprich die Verweise der nicht benötigten Plugins rausgeschmissen.
6.) Die Admin-Tools installiert
7.) Akeeba Backup installiert (sehr zu empfehlen, sogar in der kostenlosen Version)

und mich dann noch eingehend mit
Joomla Security bzw. [http://25yearsofprogramming.com/blog/20070705.htm How to prevent your
website from getting hacked]
beschäftigt.

Zur Online-Überprüfung meiner Seiten nutze ich auch noch Sucuri, (den
onlinelinkscan vom letzten Beitrag kannte ich noch nicht, vielen Dank )


mit freundlichen Grüßen,
drnatur

EDIT: Lies dir den oben erwähnten Beitrag mal durch. Für weitere Fragen sind wir gerne zur Stelle.
Bitte warten ..
Mitglied: catachan
06.02.2013 um 18:52 Uhr
Hi

@drnatur
also http://onlinelinkscan.com/ bringt mir keine Warnung wegen einer Vireninfektion. Bist du sicher dass es nichts lokales bei dir ist ?

LG
Bitte warten ..
Mitglied: werthersd
06.02.2013 um 18:52 Uhr
Ich hab da keine Joomla-Installation am Laufen. Das ist eine ganz normale html-site.

Ich vermute, dass ich da erst mal ein Problem mit einem Trojaner auf meinem PC hab. Beim Googlen kommt immer wieder der Vorschlag, den PC ganz neu aufzusetzen. Der JS/Kryptik.ADZ sei nicht gut zu bekämpfen und startet immer wieder von Neuem...

Das sind ja nette Aussichten!

werthersd
Bitte warten ..
Mitglied: drnatur
06.02.2013, aktualisiert um 19:21 Uhr
@catachan
Danke für den Hinweis!
Da Virustotal (https://www.virustotal.com/file/05c2b462e9f18b5dc5bc580bacf974a9418c1446 ...) etwas findet, bin ich mir ganz sicher, dass es nix lokales ist.

Zum eigentlichen Problem:
Das mit Joomla stammt nur aus dem vorherigen Beitrag, da der vorherige User eben eine Joomla-Installation verwendet hat.
Du sagst, du verwendest nur reine HTML-Dateien? Kein PHP o.ä.
Werden von irgendwo extern CSS oder JS-Dateien eingebunden?

Hast du eine Möglichkeit, von einem virenfreien PC eine Kopie deiner Website per FTP herunterzuladen?

liebe Grüße, drnatur
Bitte warten ..
Mitglied: werthersd
06.02.2013 um 20:30 Uhr
ich werd morgen alles am Server löschen, meinen PC frisch aufsetzen und dann von ganz von vorn...

inzwischen mal danke an alle

werthersd
Bitte warten ..
Mitglied: C.R.S.
06.02.2013, aktualisiert um 21:53 Uhr
Es ist die gleiche Infektion wie im anderen Thread:

2013-02-06 19:33:26 hxxp://www.tanzschule-innviertel.at/js/prototype.js 3CC4336101E4C20513F3B31D4DC37B29 77.244.243.43 AT Trojan.JS.Redirector.xb

2013-02-06 19:33:25 hxxp://www.tanzschule-innviertel.at/TI_index.html C1FE842C4E4BEC81FB316333BE1D4D1F 77.244.243.43 AT Trojan.JS.Redirector.xb

Das hat nichts mit Joomla zu tun. Die meisten Webseiteninfektionen erfolgen durch Bots, die abgegraste Credentials aus Browsern und FTP-Clients empfangen. Im Wesentlichen nur die Primärinfektionen zur Verbreitung der Passwort-Trojaner basieren auf CMS-Exploitation o.ä.

Grüße
Richard
Bitte warten ..
Mitglied: werthersd
09.02.2013 um 12:11 Uhr
Hallo!

Jetzt bin ich wieder da. Hab alles frisch aufgesetzt und installiert. Könnt Ihr mal testen, ob wieder Fehlermeldungen bzw. Warnungen kommen?
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Netzwerkkabel von Wohnung nach Draußen führen
gelöst Frage von manuelwLAN, WAN, Wireless6 Kommentare

Hallo, ich wohne in einer Mietwohnung und würde gerne an meinem Wohnzimmerfenster im Freien einen AccesPoint anbringen. Da nämlich ...

Off Topic
Themen von administrator.de auf dem Index?
gelöst Frage von JochemOff Topic16 Kommentare

Hallo zusammen, die folgende Seite/das folgende Thema wird bei mir durch die Firewall geblockt: Ok, ist sicherlich eine Einstellungssache ...

Festplatten, SSD, Raid
Wiederherstellung Index von RAID 5
Frage von SnoberwolfFestplatten, SSD, Raid6 Kommentare

Hallo, Ich bin Administrator in einem IT-Unternehmen und habe schon öfter mit dem Gedanken gespielt mich in diesem Forum ...

Batch & Shell
PowerShell - Werte werden nicht ausgegeben und Formatierung Ausgabe
gelöst Frage von goodbytesBatch & Shell16 Kommentare

Hallo, diese Abfrage im PS-Fenster (Windows PowerShell ISE) gibt im PS-Fenster dieses Ergebnis zurück: Die gleiche Abfrage, nur mit ...

Neue Wissensbeiträge
Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 8 StundenInternet3 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registierunf von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 15 StundenVerschlüsselung & Zertifikate1 Kommentar

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 1 TagWindows 104 Kommentare

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 1 TagSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Von rj11 auf rj45
Frage von jensgebkenLAN, WAN, Wireless18 Kommentare

Hallo Gemeinschaft, könnt ihr mir vielleicht bei der anfertigung eines Kabels helfen - habe ein rj 11 stecker und ...

Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement17 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...