Seltsame Links auf Homepage des Unternehmens - Antivirus erkennt keinen Virus
Hallo,
ich habe ein seltsames Phänomenen in einem meiner betreuten Netzwerke. Auf der Internet-Seite des Unternehmens werden innerhalb der Seite Links zu einschlägigen Pharmazeutischen Mitteln angezeigt - komischerweise aber nur auf dieser Internet-Seite und nur, wenn man die Seite innerhalb des Unternehmensnetzwerkes aufruft. Externe Aufrufe zeigen die Seite ganz normal an. Und es werden nur auf dieser Internet-Seite die Links angezeigt...
Bisher kannte ich nur die Variante, daß auf allen Seiten solche Links eingeblendet werden.
Die Überprüfung durch Anti-Viren-Programme ergab keinen Fund. Einen Umleitung durch einen Proxy habe ich auch nicht gefunden.
Jetzt bin ich etwas ratlos und mein Kunde ist verunsichert.
Habt Ihr noch Tipps, was man überprüfen könnte?
Danke im Voraus und Gruß
Lucky
ich habe ein seltsames Phänomenen in einem meiner betreuten Netzwerke. Auf der Internet-Seite des Unternehmens werden innerhalb der Seite Links zu einschlägigen Pharmazeutischen Mitteln angezeigt - komischerweise aber nur auf dieser Internet-Seite und nur, wenn man die Seite innerhalb des Unternehmensnetzwerkes aufruft. Externe Aufrufe zeigen die Seite ganz normal an. Und es werden nur auf dieser Internet-Seite die Links angezeigt...
Bisher kannte ich nur die Variante, daß auf allen Seiten solche Links eingeblendet werden.
Die Überprüfung durch Anti-Viren-Programme ergab keinen Fund. Einen Umleitung durch einen Proxy habe ich auch nicht gefunden.
Jetzt bin ich etwas ratlos und mein Kunde ist verunsichert.
Habt Ihr noch Tipps, was man überprüfen könnte?
Danke im Voraus und Gruß
Lucky
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 227408
Url: https://administrator.de/forum/seltsame-links-auf-homepage-des-unternehmens-antivirus-erkennt-keinen-virus-227408.html
Ausgedruckt am: 26.12.2024 um 02:12 Uhr
10 Kommentare
Neuester Kommentar
Hi,
Mir fallen da zwei Richtungen ein in welche man suchen könnte:
1) Browser Hijacking: Um das festzustellen kann man einen frisch aufgesetzten Rechner mit einen alternativen Browser verwenden und kontrollieren ob da auch die Webseite verunstaltet ist.
2) Euer Webserver wurde gehackt. Wär zwar komisch, dass nur der firmeninterne Aufruf davon betroffen ist; technisch möglich wäre es aber. Da kannst du einfach mit deinem diff des Webserverinhaltes zum letzten Backup (bevor das Problem auftrat) abklären ob jemand was verändert hat.
mfg
Cthluhu
Mir fallen da zwei Richtungen ein in welche man suchen könnte:
1) Browser Hijacking: Um das festzustellen kann man einen frisch aufgesetzten Rechner mit einen alternativen Browser verwenden und kontrollieren ob da auch die Webseite verunstaltet ist.
2) Euer Webserver wurde gehackt. Wär zwar komisch, dass nur der firmeninterne Aufruf davon betroffen ist; technisch möglich wäre es aber. Da kannst du einfach mit deinem diff des Webserverinhaltes zum letzten Backup (bevor das Problem auftrat) abklären ob jemand was verändert hat.
mfg
Cthluhu
Den Webserver mal geprüft? Mal geschaut, was genau passiert, wenn man einen Client nimmt, der nicht im Kudnennetz eingebunden ist (live-CD).
Mal geprüft, welche Verbindungen der Webserver aufbaut, wenn man auf ihn zugreift? Eventuell ist das ja eine "werbeschnittstelle" um werbung von außen einzublenden.
lks
PS. Oder Ihr habt werbe-Addons in euren Browsern, die beim, normalen AV-Check nicht auffallen. Nimm mal malwarebytes Antimalware oder Ad-Aware zum scannen.
edit: typos.
Wenn man mal den gesunden Menschenverstand walten lässt statt durch Unwissenheit und Unkenntniss der Fakten Verschwörungstheorien in Foren zu schüren, denn geht man mal per SSH oder Telnet auf den Web Server und sieht sich mal ganz genau den HTML Code dieser Seite an.
Zusätzlich natürlich die HTTP Logs und Systemlogs um ggf. Einbrüche usw. ins System zu sehen.
Für dich als "Betreuer" des Netzwerkes ist das ja ein leichtes und das du bei solchen Basics schon ratlos bist spricht für sich, sorry....
Das steht doch schwarz auf weiss was HTML seitig drinsteht und was nicht, und/oder ob je nach Browser oder sonst irgendwelchen Parametern die abgefragt werden der Content verändert wird.
Ist das nicht der Fall hast du wohl ein Problem am Client....oder anderswo ?!
Zusätzlich natürlich die HTTP Logs und Systemlogs um ggf. Einbrüche usw. ins System zu sehen.
Für dich als "Betreuer" des Netzwerkes ist das ja ein leichtes und das du bei solchen Basics schon ratlos bist spricht für sich, sorry....
Das steht doch schwarz auf weiss was HTML seitig drinsteht und was nicht, und/oder ob je nach Browser oder sonst irgendwelchen Parametern die abgefragt werden der Content verändert wird.
Ist das nicht der Fall hast du wohl ein Problem am Client....oder anderswo ?!
Zitat von @aqui:
Wenn man mal den gesunden Menschenverstand walten lässt statt durch Unwissenheit und Unkenntniss der Fakten
Verschwörungstheorien in Foren zu schüren, denn geht man mal per SSH oder Telnet auf den Web Server und sieht sich mal
ganz genau den HTML Code dieser Seite an.
Zusätzlich natürlich die HTTP Logs und Systemlogs um ggf. Einbrüche usw. ins System zu sehen.
Für dich als "Betreuer" des Netzwerkes ist das ja ein leichtes und das du bei solchen Basics schon ratlos bist
spricht für sich, sorry....
Das steht doch schwarz auf weiss was HTML seitig drinsteht und was nicht, und/oder ob je nach Browser oder sonst irgendwelchen
Parametern die abgefragt werden der Content verändert wird.
Ist das nicht der Fall hast du wohl ein Problem am Client....oder anderswo ?!
Wenn man mal den gesunden Menschenverstand walten lässt statt durch Unwissenheit und Unkenntniss der Fakten
Verschwörungstheorien in Foren zu schüren, denn geht man mal per SSH oder Telnet auf den Web Server und sieht sich mal
ganz genau den HTML Code dieser Seite an.
Zusätzlich natürlich die HTTP Logs und Systemlogs um ggf. Einbrüche usw. ins System zu sehen.
Für dich als "Betreuer" des Netzwerkes ist das ja ein leichtes und das du bei solchen Basics schon ratlos bist
spricht für sich, sorry....
Das steht doch schwarz auf weiss was HTML seitig drinsteht und was nicht, und/oder ob je nach Browser oder sonst irgendwelchen
Parametern die abgefragt werden der Content verändert wird.
Ist das nicht der Fall hast du wohl ein Problem am Client....oder anderswo ?!
Logfile Analyse ist der richtiger Ansatz!
Wobei du aber bedenken musst dass auch in dynamischem PHP Code Dinge versteckt sein können. Einfach mal HTML lesen ist leicht gesagt. Kaum eine Webseite kommt heute ohne Script aus.
Zitat von @lucky78:
Ein frisch aufgesetzter Client ist ebenfalls von dem Problem betroffen (auch mit einer Live-CD).
Ein frisch aufgesetzter Client ist ebenfalls von dem Problem betroffen (auch mit einer Live-CD).
Stimmen denn eure Nameserver-einträger überall? Sofern nur die Nameserver verstellt sind udn Eure webseite über einen "MITM-proxy" geleitet wird, köntne das auch durchaus sein.
Trag mal bei der live-CD manuell z.B. die google-server statt den per dhcp verteilten ein (8.8.8.8 udn 8.8.4.4).
lks
Zitat von @lucky78:
Fraglich ist, warum der User-Agent meines Kunden auf diese Links angesprungen ist... das ist aber sekundär.
Fraglich ist, warum der User-Agent meines Kunden auf diese Links angesprungen ist... das ist aber sekundär.
Bug in der malware.
lks