[GELÖST] Viruswarnung auf Webseite

leerraum · 01. Juli 2013 19:10

Hi,

Ich sitze gerade im Urlaub und einer meiner Kunden hat gerade den Panik-Button gedrückt. Anscheinend hat ein Kunde des Kunden und ein Angestellter des Kunden beim Besuch der Webseite eine Viruswarnung bekommen. Ich kann das vom Smartphone nicht bestätigen. In den Templates ist nichts zu sehen, was auf einen Virus hindeutet.

Das blöde ist, dass ich vor zwei Wochen das update auf 11.7 gemacht habe und der Kunde jetzt denkt, das hängt damit zusammen. Obwohl das ein Sicherheitsupdate war.

Ich bräuchte also ein zwei wagemutige Personen, die sich auf www.klocke.com begeben und mir kurz sagen ob da was ist. Wenn ja bitte gleich mit details.. screenshot etc.

Wenn da was ist, wechsel ich in den Panik Modus. Ich würde mich nur ungern auf die suche nach einem Internet Kaffee machen.

Danke!
Leerraum

Klenkes · 01. Juli 2013 19:34

So sieht es im Opera aus:

warning

Klenkes · 01. Juli 2013 19:45

Ich kann auf der Seite nichts Auffälliges feststellen.
Ich hatte allerdings auch alles abgestellt. Javascript usw...

Einziges Javascript im HTML:
Im HEAD:

Hier klicken, um den Code zum Kopieren zu markieren

<script src="/js/libs/modernizr-2.5.3.custom.min.js"></script>
<script>
Modernizr.load({
	test: Modernizr.testStyles("#modernizr div {width:100px} #modernizr :last-child{width:200px;display:block}", function(elem) {return elem.lastChild.offsetWidth > elem.firstChild.offsetWidth;}, 1),
	nope : 'http://www.klocke.com/cmsms/js/selectivizr-min.js'
});
</script>

<!--[if IE]><link rel="stylesheet" type="text/css" href="http://www.klocke.com/iefixes.css"/><![endif]-->

<script type="text/javascript">

  var _gaq = _gaq || [];
  _gaq.push(['_setAccount', 'UA-35776796-1']);
  _gaq.push(['_trackPageview']);

  (function() {
    var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;
    ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
    var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);
  })();

</script>

Im FOOTER:

Hier klicken, um den Code zum Kopieren zu markieren

<script src="//ajax.googleapis.com/ajax/libs/jquery/1.7.1/jquery.min.js"></script>
<script>window.jQuery || document.write('<script src="/js/libs/jquery-1.7.1.min.js"><\/script>')</script>
<script type="text/javascript" src="/js/libs/jquery-ui-1.8.21.custom.min.js"></script>
<script type="text/javascript" src="/js/index.js"></script>
<script>
$(function(){
    // init tabs
    $('#tabs').tabs();
})

</script>

Beitrag geändert von Klenkes (01. Juli 2013 19:48)

leerraum · 01. Juli 2013 19:50

@klenkes: das ist soweit normal. Das sind die tabs auf der Startseite... denke ich. kann natürlich auch sein, dass jemand die Dateien getauscht hat... ich guck mir gerade dieses yandex an um raus zu finden woher die diese Information nehmen

leerraum · 01. Juli 2013 20:07

Hm, also sucuri website check sagt mir, dass die Seite ok ist, aber von yandex (als einzigen) auf did blacklist gesetzt wurde. Für mich riecht das fast nach gezielten Abschuss.

Klenkes · 01. Juli 2013 20:13

Ich hatte mir die Seite noch kurz unter einer VM angeschaut und konnte auch nichts finden.
Kaspersky meckert auch nicht rum... sieht sauber aus. Jetzt!

Vielleicht war mal was eingeschleust? Aber jetzt wieder weg?!? Komisch.

Für mich riecht das fast nach gezielten Abschuss

Von wem?
Konkurenz? Uuuhh.... Verschwörungen... wink

Beitrag geändert von Klenkes (01. Juli 2013 20:14)

leerraum · 01. Juli 2013 20:20

Hm, ja, man kann jetzt drüber nachdenken ob und wer da Interesse daran haben könnte. Anyway ich setze mich jetzt mit yandex in Verbindung und versuche die Seite von der blacklist zu bekommen....

Danke dir smile

Janl · 02. Juli 2013 22:12

Mit win8 und Firefox und Avast keine Meldungen.

mfg
Jan

Klenkes · 02. Juli 2013 22:34

Interessant! Beim Aufrufen mit IE10 meldet Kaspersky:

Hier klicken, um den Code zum Kopieren zu markieren

Download eines Objekts.
q.php	Verboten: http://cm.evillagemedia.com/eed59482924672166466cf3d6bd42540/q.php 
(mit der Datenbank für schädliche Webadressen untersuchen)	
01.07.2013 23:29:05	http://cm.evillagemedia.com/eed59482924672166466cf3d6bd42540/

Ich hab's mal als Code gesetzt, damit die Links nicht aktiv sind.

leerraum · 02. Juli 2013 06:37

Ok, das ist krass. Ich guck mal, dass ich mir heute einen computer organisiere. Die frage ist, wo das her kommt und warum das nur im IE10 passiert. Vor allem kenn ich keine evillagemedia....

Hm wenn es eine php Datei ist, die der ie10 beanstandet, dann sollte es über das Frontend geschehen. Aber in den Templates ist nichts drin. Bedeutet für mich, dass das System wohl modifiziert wurde.

Beitrag geändert von leerraum (02. Juli 2013 07:09)

leerraum · 11. Juli 2013 14:46

@Klenkes hat hier einen super Job gemacht und heraus gefunden, dass es am Webserver lag. Ich poste noch schnell die Links hier, damit der Thread vollständig ist und niemand mehr wie das Schwein vor dem Uhrwerk steht.

http://arstechnica.com/security/2013/04 … malware-at tack-targeting-apache-hijacks-20000-sites/

http://blogs.cisco.com/security/apache- … mpromises/

Leider hat der Hoster das Problem nicht auf seinem Server lokalisieren können. Eigentlich schade, wenn man schon eine Blaupause für das Problem liefert. Bleibt uns nur noch der Umzug zu einem größeren Anbieter.

Forum für CMS/made simple

#1 01. Juli 2013 19:10

[GELÖST] Viruswarnung auf Webseite

#2 01. Juli 2013 19:34

Re: [GELÖST] Viruswarnung auf Webseite

#3 01. Juli 2013 19:45

Re: [GELÖST] Viruswarnung auf Webseite

#4 01. Juli 2013 19:50

Re: [GELÖST] Viruswarnung auf Webseite

#5 01. Juli 2013 20:07

Re: [GELÖST] Viruswarnung auf Webseite

#6 01. Juli 2013 20:13

Re: [GELÖST] Viruswarnung auf Webseite

#7 01. Juli 2013 20:20

Re: [GELÖST] Viruswarnung auf Webseite

#8 02. Juli 2013 22:12

Re: [GELÖST] Viruswarnung auf Webseite

#9 02. Juli 2013 22:34

Re: [GELÖST] Viruswarnung auf Webseite

#10 02. Juli 2013 06:37

Re: [GELÖST] Viruswarnung auf Webseite

#11 11. Juli 2013 14:46

Re: [GELÖST] Viruswarnung auf Webseite

Fußzeile des Forums