Ich habe ein etwas 'komisches' problem!
Darauf aufmerksam wurde ich durch Fehlermeldungen in meinem Google Webmastertools - error log!
Dort hatte ich nämlich hunderte Domain not found und 503:Service unavailable Fehler.
Gespräche mit dem Provider des Webservers brachten nicht viel,
es wird immer behauptet es liegt nicht an ihnen!
Anfangs wurde der DNS unter die Lupe genommen => ergebnislos
Dann ist mir eine sporadische weiterleitung beim herumsurfen auf meiner Website aufgefallen,...
und zwar auf eine bösartige Malware Seite (xponlinescanner.com und advancedonlinescanner.com)
Natürlich habe ich anfangs an virenverseuchte Clients gedacht, und nicht den Webserver dafür verantwortlich gemacht.
Dann ist mir das immer wieder passiert; und zwar nur auf meiner Webseite; und noch dazu von einigen verschiedenen Rechnern (unterschiedliche netzwerke/provider) aus....
Dann habe ich mal einen solchen weiterleitenden Zugriff auf meine Webseite von einem Client aus, mittels Wireshark mitgeloggt...
Code: Alles auswählen
GET / HTTP/1.1
Accept: */*
Accept-Language: de
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: www.domain-name.com
Connection: Keep-Alive
Cookie: __utma=59863988.811420971.1206575908.1206575908.1206578114.2; __utmb=59863988.28; __utmz=59863988.1206575908.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none)
HTTP/1.0 200 OK
Content-Length: 16498
Content-Type: text/html
<html><head></head><script language=vbs>.... javascript... [genauer Code von Moderator entfernt]...</script></body></html>
Diese Datenpakete kommen laut Wireshark eindeutig von der IP Adresse des Webservers!
Ich konnte das Skript leider nicht entschlüsseln bzw sich kontrolliert entpacken lassen, und somit weiß ich nicht genau was da drinnen abgeht!
(würd mich aber sehr interessieren; also wenns wer machen kann...)
Weiters: Meine Website besteht nur aus html (dynamisch generiert) und jpgs und gifs; keine banner; keine fremd-inhalte usw....
Leider passiert das auftreten dieser Weiterleitung nicht immer, sondern nur sporadisch und lässt sich oft stundenlang nicht reproduzieren!
Wenn es aber reproduzierbar ist, dann funktioniert die reproduktion auf allen meinen rechnern und browsern.
Im IE wird das script ausgeführt und auf eine MalwareSeite weitergeleitet.
Im FF wird eine leere seite angezeigt und ein file, dass so wie das angeforderte benannt ist zum download angeboten (ist aber leer)
Entweder will mein Provider es einfach nicht wahr haben, dass ihr Server diesen Müll verschickt....
.... oder ich hab das wireshark log eventuell falsch/unvollständig interpretiert?
also meine Frage nun:
-> soll ich Privider wechseln?
-> kann es wirklich ausgeschlossen werden, dass die Weiterleitung von den clients selbst kommt? (Das Datenpaket kommt ja laut wireshark eindeutig vom Server)
was sagt ihr weiters:
Die http Antwort sieht nicht nach Apache aus, sondern nach einem eigenen (mini-)Webserver(-skript)?
Kennt ihr ein solches Problem?
Kennt ihr vielleicht sogar schon eine Lösung für dieses problem (Lösung für Provider)
Hab bei internet Recherche einen Blog gefunden, wo user beschreiben dass das selbe angeblich einer website (star-tribune) aufgetreten ist
(https://jfaughnan.blogspot.com/2008/03/ ... r-not.html)
ist das ernst zu nehmen; sollt ich eventuell diese website kontaktieren und fragen was sie dagegen unternehmen konnten?
BITTE DRINGEND UM RAT/HILFE/BEISTAND usw!!!!!
DANKE!
mfg XP