Links auf index-Seite werden verändert ausgegeben und führen ins Nirgendwo
Hallo!
Ich bin ratlos. Eine von mir erstellte Internetseite (tanzschule-innviertel.at) startet mit einer index-Seite, die im Grunde nur aus zwei Bildern besteht, die als Links auf zwei verwchiedene Seiten verzweigen sollen. Die Links werden seit ein paar Tagen von "bösen Mächten" so verändert, dass sie ins Nirgendwo führen. Der enthaltene "/" wird dabei entfernt und Großbuchstaben in Kleinbuchstaben umgewandelt. Wenn ich mir die Seite als Code darstellen lasse, ist alles wie es sich gehört...
Ich nehme mal an, dass da irgend ein Schadprogramm am Werk ist. Meine Fragen an Euch: Was kann das sein? Ist das schon bekannt? Gibt's Gegenmaßnahmen?
Danke für Eure Hilfe!
werthersd
Ich bin ratlos. Eine von mir erstellte Internetseite (tanzschule-innviertel.at) startet mit einer index-Seite, die im Grunde nur aus zwei Bildern besteht, die als Links auf zwei verwchiedene Seiten verzweigen sollen. Die Links werden seit ein paar Tagen von "bösen Mächten" so verändert, dass sie ins Nirgendwo führen. Der enthaltene "/" wird dabei entfernt und Großbuchstaben in Kleinbuchstaben umgewandelt. Wenn ich mir die Seite als Code darstellen lasse, ist alles wie es sich gehört...
Ich nehme mal an, dass da irgend ein Schadprogramm am Werk ist. Meine Fragen an Euch: Was kann das sein? Ist das schon bekannt? Gibt's Gegenmaßnahmen?
Danke für Eure Hilfe!
werthersd
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 201358
Url: https://administrator.de/forum/links-auf-index-seite-werden-veraendert-ausgegeben-und-fuehren-ins-nirgendwo-201358.html
Ausgedruckt am: 03.04.2025 um 09:04 Uhr
13 Kommentare
Neuester Kommentar
Hi
für mich siehts so aus als wäre hier im Hintergrund eine rewriterule aktiv die nicht sauber läuft. Falls du das nicht selber gemacht hast dann bitte den Hoster kotaktieren
LG
Edit: Gib bei den Links vorne www. dazu (also http://www.tanzschule-innviertel.at/TI_index.html bzw. http://www.moveand.at/MA_index.html). Dann gehts
LG
Edit: Gib bei den Links vorne www. dazu (also http://www.tanzschule-innviertel.at/TI_index.html bzw. http://www.moveand.at/MA_index.html). Dann gehts
also ich glaube, du hast ein ernstes Problem:
Mein Virenschutz (ESET Smart Security 5) meldet, dass auf allen Seiten ein Trojaner am Werk ist
http://www.moveand.at/SpryAssets/SpryMenuBar.js JS/Kryptik.ADZ Trojaner
http://www.moveand.at/js/prototype.js JS/Kryptik.ADZ
http://www.moveand.at/js/lightbox.js JS/Kryptik.ADZ
http://www.moveand.at/js/scriptaculous.js?load=effects,builder JS/Kryptik.ADZ
http://www.moveand.at/MA_index.html JS/Kryptik.ADZ
http://www.tanzschule-innviertel.at/js/prototype.js JS/Kryptik.ADZ
http://www.tanzschule-innviertel.at/SpryAssets/SpryMenuBar.js JS/Kryptik.ADZ
http://www.tanzschule-innviertel.at/js/lightbox.js JS/Kryptik.ADZ
http://www.tanzschule-innviertel.at/js/scriptaculous.js?load=effects,bu ... JS/Kryptik.ADZ
Mein Virenschutz (ESET Smart Security 5) meldet, dass auf allen Seiten ein Trojaner am Werk ist
http://www.moveand.at/SpryAssets/SpryMenuBar.js JS/Kryptik.ADZ Trojaner
http://www.moveand.at/js/prototype.js JS/Kryptik.ADZ
http://www.moveand.at/js/lightbox.js JS/Kryptik.ADZ
http://www.moveand.at/js/scriptaculous.js?load=effects,builder JS/Kryptik.ADZ
http://www.moveand.at/MA_index.html JS/Kryptik.ADZ
http://www.tanzschule-innviertel.at/js/prototype.js JS/Kryptik.ADZ
http://www.tanzschule-innviertel.at/SpryAssets/SpryMenuBar.js JS/Kryptik.ADZ
http://www.tanzschule-innviertel.at/js/lightbox.js JS/Kryptik.ADZ
http://www.tanzschule-innviertel.at/js/scriptaculous.js?load=effects,bu ... JS/Kryptik.ADZ
Das hatten wir doch neulich erst....Webseite mit Trojaner befallen
Ich zitiere meinen eigenen Beitrag (das darf ich, sogar ohne Doktortitel :-P)
mit freundlichen Grüßen,
drnatur
EDIT: Lies dir den oben erwähnten Beitrag mal durch. Für weitere Fragen sind wir gerne zur Stelle.
Ich zitiere meinen eigenen Beitrag (das darf ich, sogar ohne Doktortitel :-P)
Zitat von @drnatur:
hallo,
Joomla-Installationen sind ein beliebtes Ziel von Angriffen. Dabei geht es meistens (wie bereits erwähnt) um irgendwelche
unsicheren Plugins/Module, o.ä.
Denn der Core von Joomla ist zu 99% sicher, bzw. wird sehr schnell sicher gemacht.
Was du dagegen tun kannst, hat certifiedit bereits kurz in seinem ersten Beitrag gut zusammengefasst.
Bei meiner letzten befallenen Joomla-Installation hab ich folgendes gemacht:
1.) Meinen PC überprüft. Es nützt nichts, auf einem befallenen PC Websiten aufzusetzen, da meist die Zugangsdaten
offen da liegen.
2.) Ein Backup der ganzen Seite (Dateien u. Datenbank) gemacht und dann alles am Webserver platt gemacht. (Wirklich alles!!)
3.) Den Hoster gebeten, auf Sicherheitslecks zu prüfen.
4.) Joomla neu installiert, dabei die Erweiterungen gegengecheckt:
http://www.joomla-security.de/sicherheitsmeldungen/unsichere-erweiterun ... bzw.
http://docs.joomla.org/Vulnerable_Extensions_List
5.) Datenbank manuell repariert, sprich die Verweise der nicht benötigten Plugins rausgeschmissen.
6.) Die Admin-Tools installiert
7.) Akeeba Backup installiert (sehr zu empfehlen, sogar in der kostenlosen Version)
und mich dann noch eingehend mit
Joomla Security bzw. [http://25yearsofprogramming.com/blog/20070705.htm How to prevent your
website from getting hacked]
beschäftigt.
Zur Online-Überprüfung meiner Seiten nutze ich auch noch Sucuri, (den
onlinelinkscan vom letzten Beitrag kannte ich noch nicht, vielen Dank
)
hallo,
Joomla-Installationen sind ein beliebtes Ziel von Angriffen. Dabei geht es meistens (wie bereits erwähnt) um irgendwelche
unsicheren Plugins/Module, o.ä.
Denn der Core von Joomla ist zu 99% sicher, bzw. wird sehr schnell sicher gemacht.
Was du dagegen tun kannst, hat certifiedit bereits kurz in seinem ersten Beitrag gut zusammengefasst.
Bei meiner letzten befallenen Joomla-Installation hab ich folgendes gemacht:
1.) Meinen PC überprüft. Es nützt nichts, auf einem befallenen PC Websiten aufzusetzen, da meist die Zugangsdaten
offen da liegen.
2.) Ein Backup der ganzen Seite (Dateien u. Datenbank) gemacht und dann alles am Webserver platt gemacht. (Wirklich alles!!)
3.) Den Hoster gebeten, auf Sicherheitslecks zu prüfen.
4.) Joomla neu installiert, dabei die Erweiterungen gegengecheckt:
http://www.joomla-security.de/sicherheitsmeldungen/unsichere-erweiterun ... bzw.
http://docs.joomla.org/Vulnerable_Extensions_List
5.) Datenbank manuell repariert, sprich die Verweise der nicht benötigten Plugins rausgeschmissen.
6.) Die Admin-Tools installiert
7.) Akeeba Backup installiert (sehr zu empfehlen, sogar in der kostenlosen Version)
und mich dann noch eingehend mit
Joomla Security bzw. [http://25yearsofprogramming.com/blog/20070705.htm How to prevent your
website from getting hacked]
beschäftigt.
Zur Online-Überprüfung meiner Seiten nutze ich auch noch Sucuri, (den
onlinelinkscan vom letzten Beitrag kannte ich noch nicht, vielen Dank
mit freundlichen Grüßen,
drnatur
EDIT: Lies dir den oben erwähnten Beitrag mal durch. Für weitere Fragen sind wir gerne zur Stelle.
Hi
@drnatur
also http://onlinelinkscan.com/ bringt mir keine Warnung wegen einer Vireninfektion. Bist du sicher dass es nichts lokales bei dir ist ?
LG
@drnatur
also http://onlinelinkscan.com/ bringt mir keine Warnung wegen einer Vireninfektion. Bist du sicher dass es nichts lokales bei dir ist ?
LG
@catachan
Danke für den Hinweis!
Da Virustotal (https://www.virustotal.com/file/05c2b462e9f18b5dc5bc580bacf974a9418c1446 ..) etwas findet, bin ich mir ganz sicher, dass es nix lokales ist.
Zum eigentlichen Problem:
Das mit Joomla stammt nur aus dem vorherigen Beitrag, da der vorherige User eben eine Joomla-Installation verwendet hat.
Du sagst, du verwendest nur reine HTML-Dateien? Kein PHP o.ä.
Werden von irgendwo extern CSS oder JS-Dateien eingebunden?
Hast du eine Möglichkeit, von einem virenfreien PC eine Kopie deiner Website per FTP herunterzuladen?
liebe Grüße, drnatur
Danke für den Hinweis!
Da Virustotal (https://www.virustotal.com/file/05c2b462e9f18b5dc5bc580bacf974a9418c1446 ..) etwas findet, bin ich mir ganz sicher, dass es nix lokales ist.
Zum eigentlichen Problem:
Das mit Joomla stammt nur aus dem vorherigen Beitrag, da der vorherige User eben eine Joomla-Installation verwendet hat.
Du sagst, du verwendest nur reine HTML-Dateien? Kein PHP o.ä.
Werden von irgendwo extern CSS oder JS-Dateien eingebunden?
Hast du eine Möglichkeit, von einem virenfreien PC eine Kopie deiner Website per FTP herunterzuladen?
liebe Grüße, drnatur
Es ist die gleiche Infektion wie im anderen Thread:
2013-02-06 19:33:26 hxxp:www.tanzschule-innviertel.at/js/prototype.js 3CC4336101E4C20513F3B31D4DC37B29 77.244.243.43 AT Trojan.JS.Redirector.xb
2013-02-06 19:33:25 hxxp:www.tanzschule-innviertel.at/TI_index.html C1FE842C4E4BEC81FB316333BE1D4D1F 77.244.243.43 AT Trojan.JS.Redirector.xb
Das hat nichts mit Joomla zu tun. Die meisten Webseiteninfektionen erfolgen durch Bots, die abgegraste Credentials aus Browsern und FTP-Clients empfangen. Im Wesentlichen nur die Primärinfektionen zur Verbreitung der Passwort-Trojaner basieren auf CMS-Exploitation o.ä.
Grüße
Richard
2013-02-06 19:33:26 hxxp:www.tanzschule-innviertel.at/js/prototype.js 3CC4336101E4C20513F3B31D4DC37B29 77.244.243.43 AT Trojan.JS.Redirector.xb
2013-02-06 19:33:25 hxxp:www.tanzschule-innviertel.at/TI_index.html C1FE842C4E4BEC81FB316333BE1D4D1F 77.244.243.43 AT Trojan.JS.Redirector.xb
Das hat nichts mit Joomla zu tun. Die meisten Webseiteninfektionen erfolgen durch Bots, die abgegraste Credentials aus Browsern und FTP-Clients empfangen. Im Wesentlichen nur die Primärinfektionen zur Verbreitung der Passwort-Trojaner basieren auf CMS-Exploitation o.ä.
Grüße
Richard