Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Sicherheit Viren und Trojaner

GELÖST

Seltsame Links auf Homepage des Unternehmens - Antivirus erkennt keinen Virus

Mitglied: lucky78

lucky78 (Level 1) - Jetzt verbinden

22.01.2014 um 14:33 Uhr, 2023 Aufrufe, 10 Kommentare

Hallo,

ich habe ein seltsames Phänomenen in einem meiner betreuten Netzwerke. Auf der Internet-Seite des Unternehmens werden innerhalb der Seite Links zu einschlägigen Pharmazeutischen Mitteln angezeigt - komischerweise aber nur auf dieser Internet-Seite und nur, wenn man die Seite innerhalb des Unternehmensnetzwerkes aufruft. Externe Aufrufe zeigen die Seite ganz normal an. Und es werden nur auf dieser Internet-Seite die Links angezeigt...
Bisher kannte ich nur die Variante, daß auf allen Seiten solche Links eingeblendet werden.

Die Überprüfung durch Anti-Viren-Programme ergab keinen Fund. Einen Umleitung durch einen Proxy habe ich auch nicht gefunden.

Jetzt bin ich etwas ratlos und mein Kunde ist verunsichert.

Habt Ihr noch Tipps, was man überprüfen könnte?

Danke im Voraus und Gruß
Lucky
Mitglied: Cthluhu
LÖSUNG 22.01.2014, aktualisiert 29.01.2014
Hi,

Mir fallen da zwei Richtungen ein in welche man suchen könnte:
1) Browser Hijacking: Um das festzustellen kann man einen frisch aufgesetzten Rechner mit einen alternativen Browser verwenden und kontrollieren ob da auch die Webseite verunstaltet ist.
2) Euer Webserver wurde gehackt. Wär zwar komisch, dass nur der firmeninterne Aufruf davon betroffen ist; technisch möglich wäre es aber. Da kannst du einfach mit deinem diff des Webserverinhaltes zum letzten Backup (bevor das Problem auftrat) abklären ob jemand was verändert hat.

mfg

Cthluhu
Bitte warten ..
Mitglied: Lochkartenstanzer
22.01.2014, aktualisiert 29.01.2014
Zitat von lucky78:

Habt Ihr noch Tipps, was man überprüfen könnte?

Den Webserver mal geprüft? Mal geschaut, was genau passiert, wenn man einen Client nimmt, der nicht im Kudnennetz eingebunden ist (live-CD).
Mal geprüft, welche Verbindungen der Webserver aufbaut, wenn man auf ihn zugreift? Eventuell ist das ja eine "werbeschnittstelle" um werbung von außen einzublenden.

lks

PS. Oder Ihr habt werbe-Addons in euren Browsern, die beim, normalen AV-Check nicht auffallen. Nimm mal malwarebytes Antimalware oder Ad-Aware zum scannen.

edit: typos.
Bitte warten ..
Mitglied: aqui
22.01.2014, aktualisiert um 15:02 Uhr
Wenn man mal den gesunden Menschenverstand walten lässt statt durch Unwissenheit und Unkenntniss der Fakten Verschwörungstheorien in Foren zu schüren, denn geht man mal per SSH oder Telnet auf den Web Server und sieht sich mal ganz genau den HTML Code dieser Seite an.
Zusätzlich natürlich die HTTP Logs und Systemlogs um ggf. Einbrüche usw. ins System zu sehen.
Für dich als "Betreuer" des Netzwerkes ist das ja ein leichtes und das du bei solchen Basics schon ratlos bist spricht für sich, sorry....
Das steht doch schwarz auf weiss was HTML seitig drinsteht und was nicht, und/oder ob je nach Browser oder sonst irgendwelchen Parametern die abgefragt werden der Content verändert wird.
Ist das nicht der Fall hast du wohl ein Problem am Client....oder anderswo ?!
Bitte warten ..
Mitglied: drobskind
LÖSUNG 23.01.2014, aktualisiert 29.01.2014
Zitat von aqui:

Wenn man mal den gesunden Menschenverstand walten lässt statt durch Unwissenheit und Unkenntniss der Fakten
Verschwörungstheorien in Foren zu schüren, denn geht man mal per SSH oder Telnet auf den Web Server und sieht sich mal
ganz genau den HTML Code dieser Seite an.
Zusätzlich natürlich die HTTP Logs und Systemlogs um ggf. Einbrüche usw. ins System zu sehen.
Für dich als "Betreuer" des Netzwerkes ist das ja ein leichtes und das du bei solchen Basics schon ratlos bist
spricht für sich, sorry....
Das steht doch schwarz auf weiss was HTML seitig drinsteht und was nicht, und/oder ob je nach Browser oder sonst irgendwelchen
Parametern die abgefragt werden der Content verändert wird.
Ist das nicht der Fall hast du wohl ein Problem am Client....oder anderswo ?!

Logfile Analyse ist der richtiger Ansatz!
Wobei du aber bedenken musst dass auch in dynamischem PHP Code Dinge versteckt sein können. Einfach mal HTML lesen ist leicht gesagt. Kaum eine Webseite kommt heute ohne Script aus.
Bitte warten ..
Mitglied: lucky78
23.01.2014 um 18:31 Uhr
Hallo,

erst einmal vielen Dank für Eure Vorschläge.

Auf dem Webserver ist definitiv nichts zu finden, der wurde geprüft und ist OK. Die Webseite wird bei einem externen Anbieter gehostet - dass dann das Problem nur innerhalb der von mir betreuten Firma auftritt ist auch nicht sehr wahrscheinlich. Alle Zugriffe von außerhalb des Netzwerkes auf die Webseite zeigen diese Links nicht an.

Das seltsame ist einfach das, daß alle Rechner und Server virenfrei sind, die Firewall bzw. das Gateway sehen auch ok aus und auf allen Clients (und dem Server) werden diese Links eingeblendet, aber eben nur auf der Webseite des Unternehmens.

Ein frisch aufgesetzter Client ist ebenfalls von dem Problem betroffen (auch mit einer Live-CD).

Ich werde mich morgen nochmals intensiv damit beschäftigen.

Wenn ich genaueres weiß, melde ich mich nochmals hier!

Danke Nochmal!

Gruß
Lucky
Bitte warten ..
Mitglied: Cthluhu
23.01.2014 um 18:36 Uhr
Hi,

Habt ihr dynamisch generierte Werbung auf der betroffenen Seite?

mfg

Cthluhu
Bitte warten ..
Mitglied: Lochkartenstanzer
23.01.2014, aktualisiert um 18:40 Uhr
Zitat von lucky78:

Ein frisch aufgesetzter Client ist ebenfalls von dem Problem betroffen (auch mit einer Live-CD).

Stimmen denn eure Nameserver-einträger überall? Sofern nur die Nameserver verstellt sind udn Eure webseite über einen "MITM-proxy" geleitet wird, köntne das auch durchaus sein.

Trag mal bei der live-CD manuell z.B. die google-server statt den per dhcp verteilten ein (8.8.8.8 udn 8.8.4.4).

lks
Bitte warten ..
Mitglied: lucky78
29.01.2014 um 18:26 Uhr
Hallo,

inzwischen habe ich den Fehler gefunden.

Leider war die Homepage des Unternehmens doch gehackt worden. Dort wurde ein "Google Conditional Hack" angewendet.

Mehr Infos dazu hier: http://typo3blogger.de/die-eigene-webseite-als-spam-schleuder-der-googl ...

Fraglich ist, warum der User-Agent meines Kunden auf diese Links angesprungen ist... das ist aber sekundär.

Vielen Dank nochmals an alle, die mir hier helfen wollten

Gruß
Lucky
Bitte warten ..
Mitglied: Lochkartenstanzer
29.01.2014 um 18:32 Uhr
Zitat von lucky78:

Fraglich ist, warum der User-Agent meines Kunden auf diese Links angesprungen ist... das ist aber sekundär.

Bug in der malware.

lks
Bitte warten ..
Mitglied: lucky78
29.01.2014 um 18:35 Uhr
tja, schlecht programmierte malware... wer hätte das gedacht

Der Kunde hätte es sonst wohl erst in ein paar Jahren erfahren, daß seine Seite gehackt wurde...
Bitte warten ..
Ähnliche Inhalte
Erkennung und -Abwehr
Antivirus im Unternehmen
Frage von geocastErkennung und -Abwehr22 Kommentare

Hallo zusammen In der Suche finde ich immer recht alte Beiträge zu dem Thema. Ich wollte mal eure Erfahrungen ...

Webbrowser
Seltsamer Zugriff auf meine Homepage
gelöst Frage von edvmaedchenfuerallesWebbrowser7 Kommentare

Hallo zusammen, ich habe für einen örtlichen, kleinen Musikverein mit Joomla 2.5 eine Homepage erstellt. Über Google Analytics sehe ...

Viren und Trojaner
Seltsames Verhalten! Virus? Plinker!
gelöst Frage von achim222Viren und Trojaner14 Kommentare

Hallo, ich hatte heute dieses Fenster auf dem Bildschirm als ich an den Server ging. Das wurde von mir ...

Viren und Trojaner
Seltsamer Virus oder Malware
Frage von donky2000Viren und Trojaner31 Kommentare

Guten morgen. Bei uns im Netzwerk passiert etwas sehr merkwürdiges. Auf ca. 30% aller Rechner /Server werden im Windows ...

Neue Wissensbeiträge
Microsoft

Letzte Updates für Win10 und Server2016 müssen bei Bedarf über den Update catalogue in den WSUS importiert werden!

Tipp von DerWoWusste vor 9 MinutenMicrosoft

automatisch kommt da nichts an im WSUS und auch nicht im SCCM. Siehe Hinweise zum Bezug der jeweils neuesten ...

Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 2 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 3 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 3 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Heiß diskutierte Inhalte
Firewall
Penetrationstester-Labor - Firewalls
Frage von Oli-nuxFirewall10 Kommentare

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll? Hat das nur ...

SAN, NAS, DAS
Wer kennt sich mit QNAP und CISCO aus ?
gelöst Frage von MachelloSAN, NAS, DAS9 Kommentare

Hallo Zusammen hier im Forum, Ich habe ein QNas 451+ und dieses NAS hat zwei GBit Lan Adapter die ...

Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen9 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...

Windows Netzwerk
Zugriff auf den Desktop Ordner eines anderen Rechners in der gleichen Domäne
gelöst Frage von JensNomaWindows Netzwerk6 Kommentare

Guten Abend, ich war neulich mit unserem Admin am Tisch gesessen. Er an seinem Notebook angemeldet mit dem Domänen-Admin, ...