HIJACKed (oä) - server oder clients ?

[xochi]

Hallo,

Ich habe ein etwas 'komisches' problem!

Darauf aufmerksam wurde ich durch Fehlermeldungen in meinem Google Webmastertools - error log!
Dort hatte ich nämlich hunderte Domain not found und 503:Service unavailable Fehler.

Gespräche mit dem Provider des Webservers brachten nicht viel,
es wird immer behauptet es liegt nicht an ihnen!

Anfangs wurde der DNS unter die Lupe genommen => ergebnislos

Dann ist mir eine sporadische weiterleitung beim herumsurfen auf meiner Website aufgefallen,...
und zwar auf eine bösartige Malware Seite (xponlinescanner.com und advancedonlinescanner.com)

Natürlich habe ich anfangs an virenverseuchte Clients gedacht, und nicht den Webserver dafür verantwortlich gemacht.
Dann ist mir das immer wieder passiert; und zwar nur auf meiner Webseite; und noch dazu von einigen verschiedenen Rechnern (unterschiedliche netzwerke/provider) aus....

Dann habe ich mal einen solchen weiterleitenden Zugriff auf meine Webseite von einem Client aus, mittels Wireshark mitgeloggt...

Code: Alles auswählen

GET / HTTP/1.1
Accept: */*
Accept-Language: de
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: www.domain-name.com
Connection: Keep-Alive
Cookie: __utma=59863988.811420971.1206575908.1206575908.1206578114.2; __utmb=59863988.28; __utmz=59863988.1206575908.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none)


HTTP/1.0 200 OK

Content-Length: 16498

Content-Type: text/html



<html><head></head><script language=vbs>.... javascript... &#91;genauer Code von Moderator entfernt&#93;...</script></body></html>

Dieser Traffic ist laut Wireshark eindeutig zwischen meinem Client und dem zuständigen Webserver abgelaufen.
Diese Datenpakete kommen laut Wireshark eindeutig von der IP Adresse des Webservers!

Ich konnte das Skript leider nicht entschlüsseln bzw sich kontrolliert entpacken lassen, und somit weiß ich nicht genau was da drinnen abgeht!
(würd mich aber sehr interessieren; also wenns wer machen kann...)

Weiters: Meine Website besteht nur aus html (dynamisch generiert) und jpgs und gifs; keine banner; keine fremd-inhalte usw....

Leider passiert das auftreten dieser Weiterleitung nicht immer, sondern nur sporadisch und lässt sich oft stundenlang nicht reproduzieren!
Wenn es aber reproduzierbar ist, dann funktioniert die reproduktion auf allen meinen rechnern und browsern.
Im IE wird das script ausgeführt und auf eine MalwareSeite weitergeleitet.
Im FF wird eine leere seite angezeigt und ein file, dass so wie das angeforderte benannt ist zum download angeboten (ist aber leer)

Entweder will mein Provider es einfach nicht wahr haben, dass ihr Server diesen Müll verschickt....
.... oder ich hab das wireshark log eventuell falsch/unvollständig interpretiert?

also meine Frage nun:
-> soll ich Privider wechseln?
-> kann es wirklich ausgeschlossen werden, dass die Weiterleitung von den clients selbst kommt? (Das Datenpaket kommt ja laut wireshark eindeutig vom Server)

was sagt ihr weiters:
Die http Antwort sieht nicht nach Apache aus, sondern nach einem eigenen (mini-)Webserver(-skript)?
Kennt ihr ein solches Problem?
Kennt ihr vielleicht sogar schon eine Lösung für dieses problem (Lösung für Provider)
Hab bei internet Recherche einen Blog gefunden, wo user beschreiben dass das selbe angeblich einer website (star-tribune) aufgetreten ist
(https://jfaughnan.blogspot.com/2008/03/ ... r-not.html)
ist das ernst zu nehmen; sollt ich eventuell diese website kontaktieren und fragen was sie dagegen unternehmen konnten?

BITTE DRINGEND UM RAT/HILFE/BEISTAND usw!!!!!

DANKE!
mfg XP

[lloy]

SCRIPT language=VBS>

sieht nach VisualBasic Script aus...

also wenn Du das Script dort nicht platziert hast, könnte entweder der Server oder Deine Software-Installation (was auch immer) gehackt sein. In letzterem Fall würde Dir ein Provider-Wechsel kaum helfen, da die Sicherheitslücke vermutlich in der Software zu suchen ist.

Was das jetzt genau ist, weiss ich aber auch nicht.

Edit: Ich glaube das Script zerschiesst das Forum-Layout...

[xochi]

hy,

leider betreibt den webserver der provider/hoster;

ich habe nur einen virtual host in seiner apache configuration;

ich habe leider auch keinen ssl/telnet zugang zu meinem verzeichnis,....

also; wenn ich den indianer (apache) fund die andere software nicht selbst betreibe, dann sollte es mit einem providerwechsel doch behoben sein.
von mir kommen nur die perl-skripte für die homepage und die bilder!

um vielleicht missverständnisse durch unvollkommene ausdrucksweise von mir vorzubeugen: mit provider meine das unternehmen, das den webserver betreibt (ist zufällig auch internet-provider).

diese böse verschlüsselte vbs script ist ganz sicher nicht von mir!!!

bitte um weitere vorschläge/ratschläge/einfälle!!!

vielen dank!

[lloy]

von mir kommen nur die perl-skripte für die homepage

Genau das meinte ich mit "Software"... Die weitaus meisten Hacks werden durch unsichere Scripte (selbstgebaut) und Lücken in Standardsoftware (CMS, Blog, Forum, etc.) verursacht, nicht durch Lücken im Server/Webserver.

[xochi]

Hallo,

ja; meine seite besteht zu 100% aus selbstgebauten scripts.
jedoch wurde bei der erstellung natürlich auf die absicherung
gegen solche angriffe geachtet.... (taints, rwx, usw)

...ich denke dass es (leider, würd mich freuen wenns so wär, weil ich dann was dagegen unternehmen kann) nicht an meinen perl skripts liegt...

ausserdem passiert diese umleitung auch bei aufrufen die nicht auf ein solches perl skript zugreifen.
also zum beispiel hab ich dieses vbs script auch beobachtet als ich /style01.css vom server abgerufen habe.

der webspace wurde natürlich auch gegen unnatürliche .htaccess dateien durchsucht!
(wurden auch welche gefunden, aber schon uralte und an unnützen stellen bzw unverwendete ordner)

da ich natürlich diesem tipp (dass es vielleicht an manipulation meiner perl skripte liegen kann) nachgehen werde, nur noch nicht genau weiß wie...
kann mir da mal wer auf die sprünge helfen / nen tip geben?

vielen dank, bisher!
XP

p.s.: ich hoffe weiterhin auf jede menge (eventuell hilfreichen) input....

[HPB]

Sieht mir ein bisschen nach einem XSS-Thema aus. Konntest du bisher die quelle lokalisieren?

Wichtig wäre, woher der Code kommt.. Includes, evtl. Gästebuch?, Datenbank, oder evtl. Serversoftware. Erst dann kann man Mutmaßungen über das Sicherheitsproblem an sich anstellen.

Wenn du willst, kannst du mir die URL ja mal per PM schicken, dann schau ich mal, ob ich etwas auf die schnelle finden kann.

Grüße

[xochi]

Hallo,

Konntest du bisher die quelle lokalisieren?

naja, die ip des webservers hat mir datenpakete mit diesem skript geschickt. woher der server dieses hat ist ungewiss.
der provider hat angeblich am server nach dateien mit dem inhalt "vbs" gesucht aber dieses script nicht gefunden (würd mich auch wundern...)!

Wichtig wäre, woher der Code kommt..

also von meinen daten (die ich per ftp erreichen kann) kommt er nicht.
kann sich sowas in nem jpg verstecken? (nur wilde fantasie...)

Mein Provider hat mir gerade eben mitgeteilt, dass er ein "umfassendes softwareupdate" am server gemacht habe. zu meinem genauen nachfragen, was er denn gemacht habe, wollte er sich nicht äußern ???

da ich im moment den fehler auch nicht reproduzieren kann, bleibt mir nur zu hoffen, dass ich dieses hässliche vbscript nie wieder sehen muss!

danke!
mfg xp

p.s.: falls es wen interessiert:
das vbscript beinhaltet zuerst einmal "verschlüsselte" javascript functions zur entschlüsselung (wie gut die ist weiß ich nicht) von irgendwas, plus etwas was wie ein key aussieht;
dieser algorithmus ist mit (unescape(Replace(StrReverse(sa),"*","%"))) ziemlich primitiv "verschlüsselt", und wird nach dem entschlüsseln mit eval(entschlüsselter string) ausgewertet!
dann hat man noch einen ziemlich langen string der verschlüsselt aussieht, und der mit den javascript funktionen entschlüsselt wird.
was dann in diesem entschlüsselten zweiten string drensteht weiß ich leider noch nicht, da ich die javascript functions noch nicht zum debuggen gebracht habe...
falls wem fad ist, kann er sich ja weiter herumspielen, würd mich interessieren was da genau drinsteht....

[HPB]

Hi,

naja, dass das eine billige Javascript verschlüsselung ist, das sieht man. Was drinsteht ist ja auch unerheblich... Auf jeden Fall nichts Gutes.

Zu Deinem Shop im Allgemeinen... Lies dir schnellstens Grundlagen für die Suchmaschinenoptimierung durch, das ist wirklich sehr wichtig.
Was hat dich dazu getrieben, als Einstiegsseite nur die Adresse des Shops anzugeben und per

Code: Alles auswählen

<META HTTP-EQUIV=Refresh Content="0; URL=http&#58;//www.xxxxxxxxx.de">

so "pseudounsichtbar" auf den eigentlichen Shop weiterzuleiten? Das ist auf jeden Fall - auch wenn es nicht zum eröffneten Thema passt - ein killer.

Klassische Sicherheitslücken schienen nicht offen zu sein, allerdings kenne ich den Quelltext nicht und weiß daher nicht, ob nicht doch die ein oder andere Schwäche zu finden wäre, die für eine Umleitungs und "Malware" im Allgemeinen verantwortlich wäre.

Allerdings ist das Konzept und die Programmierung an sich ein bisschen "Laienhaft". Preise als Formular-Hidden-Felder über den Client durchzuschleifen geht natürlich gar nicht. Habe gerade eine Produktanfrage für eine Heckklappe für -150€ gemacht. Dann bekomme ich noch etwas raus!

Code-Technisch bist du damit auf dem absoluten Holzpfad: https://validator.w3.org/
...da mal deine home-adresse angeben und auf korrektes markup validieren. Dass alles korrekt ist, ist zwar nicht nötig, aber das geht so absolut nicht.

Falls das mit der Umleitung nochmal auftritt, sag einfach nochmal bescheid.

Harte Worte zwar, aber berechtigt: Hier geht es um Geld... Ein Onlineshop sollte daher mit größter Sorgfalt gemacht sein. Wenn technisch unbrauchbar, werden daher auch Kunden ausbleiben. Erstens, weil alle Leute sehr wohl - ob unterbewußt oder nicht... je nach techn. Kenntnisstand - merken, wie gut eine Seite funktioniert und ob sie ähnlich reibungslos und sicher funktioniert, wie alle anderen Online-Shops. Falls nicht, ist der Kunde extrem schnell weg. Zweitens steigt hier kein Crawler mehr durch und scheitert wahrscheinlich schon bei der "Meta Refresh"- Angabe auf der Eröffnungsseite. Das hat eine miese Platzierung zur Folge -> keine Kunden.

Hier besteht also noch sehr großer Nachholbedarf.

Grüße,
HPB

[xochi]

Hallo,

also, erstmal danke an HPB für die Zeit die er sich genommen hat, meine Seite anzusehen und darauf los zu tippen!

auch wenn es jetzt vom eigentlichen thema abweicht, möchte ich mich zur kritik äußern *g*

die schreckliche weiterleitung sollte eigentlich schon seit einiger zeit behoben sein; (war mir klar, dass das killer ist)
die zutreffenden zeilen stehen in der htaccess drinnen, funktionieren aber nicht (mehr)!?
habe mir einstweilen mit einer besseren "krücke" geholfen! werds aber bei zeiten in der htaccess fixen!

das mit den preisen als hidden formularfelder ist mir auch bewusst!
hab mir aber nicht viel gedanken gemacht, da alle preise sowieso ohne gewähr (da lieferantenabhängige schwankungen),
und eine menschliche schnittstelle zwischen webshop und realem shop besteht, die solche fehler sowieso beim übertragen
in eine andere software erkennt!

zu deiner produktanfrage: je nach kompetenz des "menschlichen interfaces" zwischen webshop und verkaufssoftware,
bekommst du ein angebot über eine heckklappe oder einen seitenspiegel (weil du artikel-ip im querystring verändert hast)
für einen fiat punto per e-mail und ich die blöde frage was denn da für eine komische anfrage aus dem kopierer gekommen sei!

laienhaft ist gut gesagt,... ICH BIN LAIE!!! (so, nun ists raus und ich fühl mich besser *g*)
ich habe web-programmierung nie offiziell gelernt,... und mittels google lernen, lernt einen manchmal viel blödsinn an ;-(

ich bin schon seit längerem am erstellen eines moderneren layouts ohne tabellen usw. jedoch kann ich erst umstellen, wenn es
mindestens genauso gut aussieht und funktioniert (in IE&FF) wie das aktuelle; und da komm ich einfach noch nicht ran

dass der webshop leider nicht professionell ist, weiß ich, aber ich kann mit meiner ZEIT und meinem bisherigen wissen
momentan leider nichts viel besseres auf die beine stellen!

bin aber schon länger brav am abakus lesen (aber alles umzusetzen ist oft schwerer bzw aufwändiger als man denkt), um die
seite schritt für schritt zu verbessern!

ich muss auch noch sagen, dass die seite bisher eigentlich für meine verhältnisse akzeptabel bei G gelistet war,
und die kunden nicht ausgeblieben sind; bis die bösen 503 und domainnotfound-errors angefangen haben....
(einige monate ging das echt gut, was mich selbst sogar etwas überraschte)

falls die bösen weiterleitungen nun wieder auftreten sollten, werde ich mich natürlich wieder hier melden und um hilfe betteln!

werde natürlich weiterhin brav den nachholbedarf abarbeiten um irgendwann zumindest ein semi-professioneller zu werden! *g*

mfg XP

[xochi]

Hallo!

ich konnte heute das vbscript auch bei anderen webseiten die auf diesem server laufen beobachten und mit wireshark aufgezeichnen!

damit steht jetzt endlich fest: meine scripte sind nicht schuld *beruhigt*bin*

und es wird wohl an für mich unbeeinflussbarer gehijackter server-software liegen!

bin mal gespannt was der provider dazu sagen wird, schade dass heute schon wochenende ist....

danke für all eure hilfe!
mfg xp

[ambrosius]

aber ich kann mit meiner ZEIT und meinem bisherigen wissen
momentan leider nichts viel besseres auf die beine stellen!

mfg XP

warum nimmst du nicht eine fertige Software oder eine Open-Source ?

[alfredo]

Hallo, habe seit einer Woche das gleiche Problem. Beim Aufruf meiner Webseite, wird manchmal eine Weiterleitung an die webseite xponlinescanner. com aktiv. Denke auch dass es an meinen Provider liegt. Hatte das gleiche Problem im Oktober 2007 und damals hatte der selbe Provider die Webseite auf einen anderen Server gelegt. Jetzt stellt er sich taub. Habe auf meiner indexseite alle scripts entfernt, nur mehr Html, leider ohne Erfolg. Auf alle Fälle Providerwechsel eingeleitet.

[xochi]

Hallo Leute!

Mein Provider hat nun angeblich etwas ziemlich verstecktes auf seinem server gefunden, und entfernt!
Leider wollte er sich wiedermal nicht dazu äußern, was er denn gefunden habe, und wo!

Hatte seit dem von ihm genannten Zeitpunkt auch keine bösen Umleitungen mehr,...
...habe es aber seither auch nicht darauf angelegt (hunterte male aktualisieren)

Es bleibt aber weiterhin für mich nur das Hoffen, dass das Problem wirklich behoben wurde! *daumen*drück*

an alfredo:
jaja; man wird einfach als spam/malware-verseuchter client eingestuft...
wenn dein provider wirklich nichts unternehmen will, dann hilft leider nur ein wechsel des providers; aber im allgemeinen sollte ein solcher anbieter aber schon etwas dagegen unternehmen!
vielleicht musst du es dem betreiber, so wie ich, mit einer datenverkehrsaufzeichnung mal verdeutlichen, dass es nicht unbedingt an deinem client liegt....
Benutzt du die G-Webmastertools? Hast du da eventuell auch 503 und/oder 'domain not found' errors?


an ambrosius:
ich würde gerne (fertige, bzw) opensource software verwenden;
aber für den speziellen zweck konnte ich damals nichts finden.
vielleicht kannst du mich ja beraten;
werd dir meine anforderungen per pm zukommen lassen.


dank an euch alle!

mfg xp

[xochi]

hy@all!

Mit meinem letzten Posting hier im Thread, war das Problem auch behoben.

Ich habe seither diese Weiterleitung nicht wieder gesehen!

Auch die DomainNotFound und die 503er Fehler in den Google Webmastertools sind plötzlich nicht wieder aufgetreten!

Meine Google Position hab ich zurück, und Kunden auch wieder!

Nur seit ein Paar Wochen (ca Anfang Mai) bekomme ich in meinen Google-Webmaster-Tools wieder diese DomainnameNotFound Fehler.
(Die 503er sind weg; haben auch lt. Provider an ihm gelegen...)

Zu Glück konnte ich die böse Weiterleitung nicht mehr reproduzieren!
(aber die Angst bleibt, dass sie auftritt! ausserdem ist der zusammenhang zwischen den domainnameNotFound Errors und der VBS-Weiterleitung ja nicht wirklich geklärt.... also kann (noch) keiner wissen woher dieser dnnf fehler kommt)

Meine Kontaktversuche mit dem Provider blieben leider unbeantwortet;
Telefonische Versuche mein Problem zu schildern wurden abgebrochen und ich wurde auf den Technischen Support verwiesen, der sich nur um schriftliche Angelegenheiten per E-Mail kümmert!
... meine E-Mails blieben bis heute unbeantwortet!

Daher habe ich nun vor entgültig den Provider zu wechseln!
Es stellt sich aber für mich die Frage, welche hier im Forum schon oft genug behandelt wurde: zu welchem?

Bin mir jetzt nicht ganz sicher; aber gibts da nicht irgendwo eine Website, auf der für sehr viele Provider Kundenbewertungen eingesehen und abgegeben werden können?
Kann mir da bitte wer, der erkennt von was ich rede, mit nem Link aushelfen?

danke,
mfg XP

p.s.: wär doch toll, wenn ich nicht der einzige mit diesen blöden fehlern im google webmaster tools-log bin... und mich mit wem darüber austauschen könnte...

[dieappenzeller]

Glaub das war dieser https://www.webhostlist.de/