Webseite als bedenklich mit "Malware" deklariert!

[Slammy]

Hallo,

meine Webseite ist seit gestern von Google mit "Diese Website verbreitet möglicherweise Malware" eingestuft und ich weiß nicht woher dies kommen soll.

Hat da schon einmal jemand Erfahrungen mit gemacht? Ich kann mir höchstens vorstellen das ein Link auf der Seite nicht in ordnung ist aber welcher das sein könnte kann ich irgendwie nicht herausfinden.

Auf jeden Fall bekomme ich seit dem keine Besucher mehr auf meine Webseite.

Ich hoffe auf eine hilfreiche Antwort.

[Margin]

Um welche Seite handelt es sich denn?

[Michael1967]

https://www.google.com/safebrowsing/dia ... -privat.de

[Anonymous]

die in der sig, kommt jedoch erst wenn man auf das suma-ergebnis klickt.

[Slammy]

Ja habe auch gerade herausgefunden das es sich wohl um gumbler.cn handelt. Das soll irgendein jScript sein das irgendwo auftaucht

[Slammy]

handelt sich um fewo-von-privat.de

***Mod-Edit - Achtung! URL infiziert!***

[Michael1967]

Schau dir mal den Quelltext deiner Seite an. Das muss da ja irgendwo auftauchen. Sollte das auf deinem Rechner liegen, so überträgst du das immer wieder in dein Web.

[philophax]

JS:Redirector-H4 [Trj]
Trojanisches Pferd
sagt avast - auch wenn ich nur view-source.... eingebe.

[Fridaynite]

Such mal in Deinem images Ordner nach image.php - Du bist ganz einfach gehackt worden. Wirst wohl Deine Seiten neu aufspielen müssen, oder alle per Hand bereinigen. In der Zeile vor dem <body> steht der Scriptcode. Ausserdem sind garantiert alle .js-dateien verseucht.

[profo]

Soweit ich das von aussen sehen kann ist das genau wie fridaynite sagt. Sowohl Deine Wartungsseite (hattest Du vor ein paar Stunden an), als auch Deine normale index-Seite, als auch mindestens mootools.js und caption.js verseucht.

Du bist natürlich nicht der einzige, den es erwischt hat... Bei unmaskparasites.com gibt es einen längeren Artikel. Die Vermutung dort ist, dass der Hack über kompromittierte ftp-Accounts funktioniert.

[Fridaynite]

Das weiss ich deswegen so genau, weil bei mir über 5 alte Wordpressinstallationen jeweils 5 Server komplett gehackt wurden. Überall das gleiche Muster. Platten putzen und neu aufspielen ist das beste. Und dann am Besten ohne Wordpress

[profo]

Autsch

[Mork vom Ork]

Die Vermutung dort ist, dass der Hack über kompromittierte ftp-Accounts funktioniert.

Das Javascript-Teil soll eine PDF-Datei auf den Besucherrechner nachladen, die offene Lücken im Adobe Reader ausnutzt, um einen Virus zu installieren, der dann seinerseits FTP-Benutzernamen und -Passwörter auf dem System sucht, die dann wiederum dazu dienen, weitere Webseiten mit dem Javascript-Schnippsel zu infizieren.

Genaueres hier:
https://blog.unmaskparasites.com/2009/0 ... mment-1005
https://blog.unmaskparasites.com/2009/0 ... omment-817

Also statt Wordpress lieber den eh grotesk überdimensionierten Adobe Reader rauswerfen .)

[Fridaynite]

Das ist aber nicht so. Da hätte bei mir mehr infiziert sein müssen als 5 Server. Ist immer nur da, wo ich Wordpress auf irgendeiner Domain vergessen hatte.

[Redcliff]

Guten Tag,

der in der Seite enthaltene Script-Code wird von Avast als JS:Redirector-H7 erkannt. Auch die Virenscanner von Sophos und GData erkennen es als Schadstoff.

Auszug:
<script language=javascript><!--
(function(){var uOx ... (E7tvv)})();
--></script>

Hier
https://www.bleuken.com/2009/05/06/remo ... infection/
findet sich Information was zur Beseitigung zu tun ist.

Viel Spaß beim Basteln

Redcliff