Author Topic: Webseite infiziert?  (Read 11997 times)

0 Members and 1 Guest are viewing this topic.

scater93

  • Guest
Webseite infiziert?
« on: August 10, 2012, 01:21:42 PM »
Hallo alle zusammen,
Ich wollte hier mal fragen, was man tun kann, wenn man eine webseite hat und man sich ziemlich sicher ist, das diese aus irgendeinem grund mit einem Virus infiziert wurde.
Bei der Betroffenen Webseite, handelt es sich um einen persönlichen Blog von mir, der mit dem CMS Wordpress läuft.

Bevor ich Avast vor 2 Tagen installierte, hatte ich nähmlich immer das Problem das sobald ich meinen "Eigenen" Blog aufrufe, im Hintergrund sich ein Fake Anti Vieren programm mittels- Drive-by Methode installiert hat. Die Freie Version von Avira die ich vor kurzem noch Installiert hatte, konnte nichts dagegen Unternehmen und es kostete mich ca.3 Stunden um diese Schadsoftware wieder loszuwerden.

Im Folgenden hab ich dan Avast installiert und mir eine Virtuelle Machiene Eingerichtet auf der ich das ganze dann nochmal testen wollte. Und tatsächlich, der Installierte Avast alamierte sofort, als ich meinen Blog öffnete, das der Netzwerk-Schutz den zugriff auf diesen Link Link: "hxxp://newsautoua.info/a11", unterband.

Da ich nirgendwo selbst eine weiterleitung auf diesen Link eingebaut habe, und ich mir eigentlich sicher bin das dies nicht durch die Werbung von BinLayer kommt(Ich habe daraufhin mehrfach Webseiten mit BinLayer werbung aufgerufen, um zu Überprüfen ob die Werbung verseucht ist), wollte ich mal nachfragen, was man außer den Blog komplett neu einzurichten, machen kann um dieses Übel evtl. wieder loszuwerden, und wie ich meinen Blog in zukunft(Wenn möglich kostenfrei bzw. Kostengünstig, da es wirklich nur ein Privater Blog ist) schützen kann.


!-- Achtung --!
Hier mal der Link zu meinem Blog hxxp://raindust.de
!-- Achtung --!


Ich bedanke mich schonmal im vorraus, falls mir hier jemand helfen kann.


PS: Falls das hier im Falschen Forenabschnitt ist, möge es ein Moderator bitte in den Richtigen abschnitt verschieben. Danke  :)

« Last Edit: August 10, 2012, 05:51:23 PM by igor »

Offline !Donovan

  • Web Analyst
  • Avast Evangelist
  • Super Poster
  • ***
  • Posts: 2219
    • The WAR Against Malware
Re: Webseite infiziert?
« Reply #1 on: August 10, 2012, 03:29:08 PM »
http://sitecheck.sucuri.net/results/raindust.de/
http://urlquery.net/report.php?id=122776

Do you still get the alert?
Glauben Sie immer noch die Warnung? (übersetzt mit Google)
Familiarize Yourself! | Educate Yourself! | Beautify Yourself! | Scan Yourself!
"People who say it cannot be done should not interrupt those who are doing it."

scater93

  • Guest
Re: Webseite infiziert?
« Reply #2 on: August 10, 2012, 04:00:11 PM »
no, after avast detected it the fist time, there were no new warnings.
But i think thats only because now avast knows that it has to block the link.


Edit: Forget the answer. Avast detected it again and blocked it.
« Last Edit: August 10, 2012, 04:26:06 PM by scater93 »

Offline polonus

  • Avast Überevangelist
  • Probably Bot
  • *****
  • Posts: 33899
  • malware fighter
Re: Webseite infiziert?
« Reply #3 on: August 10, 2012, 04:50:41 PM »
Hi scater93 & !Donovan,

As I open up the blog site in a file viewer, I am immediately warned about WordPress version number issues on that site.
Wordpress Version 3.3 or 3.4 based on: http://raindust.de/wp-includes/js/autosave.js
From link for view.binlayer dot com/ad-51659.js I get  // eRW: r.o Lmh0dHA= vs. cmFpbmR1c3QuZGU= var blLayer='loaded'; (could be infected),
see: http://www.mywot.com/en/scorecard/view.binlayer.com & http://labs.sucuri.net/?details=view.binlayer.com
General security advice, see: http://de.saferpage.de/raindust (Anweisungen auf Deutsch)
http://www1.uni-hamburg.de/W.Wiedl/Skripte/mod_rewrite/963218312.html  (Um keine Versionsnummer der Serversoftware zu übermitteln)
Outside the general WP upgrade, I do not see much outside the binlayer dot com link issue, binlayer dot com is also being blocked by opendns.com tool
as Malware/Scam/Rogue/Fraud, and also listed as such at malwaredomains.com,

polonus

P.S. Also get an IDS long header alert for GET /v2/cexposer/SIG=12k9qg25e/*htxp%3A//ad.yieldmanager.com/imp?Z=800x440&s=2668009&_salt=3300294866&B=12&m=2&r=0 HTTP/1.1
Host: cookex.amp dot yahoo.com
« Last Edit: August 10, 2012, 05:18:41 PM by polonus »
Cybersecurity is more of an attitude than anything else. Avast Evangelists.

Use NoScript, a limited user account and a virtual machine and be safe(r)!

Offline Asyn

  • Avast Überevangelist
  • Certainly Bot
  • *****
  • Posts: 76037
    • >>>  Avast Forum - Deutschsprachiger Bereich  <<<
Re: Webseite infiziert?
« Reply #4 on: August 10, 2012, 05:45:00 PM »
@scater93: Bitte in deinem Eingangsbeitrag bei deinen Links http durch hxxp ersetzen..!! Danke. Edit: Hat sich erledigt. ;)

Willkommen im Forum,
Asyn

PS: Wozu brauchst du eigentlich Werbung in einem privaten Blog..??
« Last Edit: August 10, 2012, 06:00:45 PM by Asyn »
W8.1 [x64] - Avast Free AV 23.3.8047.BC [UI.757] - Firefox ESR 102.9 [NS/uBO/PB] - Thunderbird 102.9.1
Avast-Tools: Secure Browser 109.0 - Cleanup 23.1 - SecureLine 5.18 - DriverUpdater 23.1 - CCleaner 6.01
Avast Wissenswertes (Downloads, Anleitungen & Infos): https://forum.avast.com/index.php?topic=60523.0

scater93

  • Guest
Re: Webseite infiziert?
« Reply #5 on: August 10, 2012, 06:18:05 PM »
naja, auch wenns nur ein blog ist aber da er nicht bei einem freien anbieter gehostet ist möchte ich schon iwie ein bisschen der kosten wieder reinhollen ^^
(Die Seite läuft jetzt ca. ein halbes Jahr und ich hab ca. 3 Euro damit verdient)

Offline polonus

  • Avast Überevangelist
  • Probably Bot
  • *****
  • Posts: 33899
  • malware fighter
Re: Webseite infiziert?
« Reply #6 on: August 10, 2012, 08:12:24 PM »
Ha Asyn und  scater93,

Aber dabei hat er sich mit einem sehr aggresiven Tracker einverbunden. Sehe: http://www.mywot.com/en/scorecard/view.binlayer.com?utm_source=addon&utm_content=warn-viewsc. Hier hat binlayer eine EMD Qualifikation, das bedeutet: "Verbreitet malware (hohes Risiko).
Wurde von hieraus blockiert: http://code.google.com/p/jansal/source/browse/trunk/adblock/urlfilter.ini?r=956
Das ist Bannerwerbung. Sehe zum Script-Versuch : http://www.jmarshall.com/easy/html/f_testbed.html

polonus
« Last Edit: August 10, 2012, 08:18:03 PM by polonus »
Cybersecurity is more of an attitude than anything else. Avast Evangelists.

Use NoScript, a limited user account and a virtual machine and be safe(r)!

Offline Asyn

  • Avast Überevangelist
  • Certainly Bot
  • *****
  • Posts: 76037
    • >>>  Avast Forum - Deutschsprachiger Bereich  <<<
Re: Webseite infiziert?
« Reply #7 on: August 10, 2012, 08:21:24 PM »
Ich würde die Werbung einfach rauswerfen.
Für 3 € in 6 Monaten rentiert sich der ganze Streß/Ärger ohnehin nicht. ;)
Aber das ist natürlich nur meine persönliche Meinung...

Schönen Abend,
Asyn
W8.1 [x64] - Avast Free AV 23.3.8047.BC [UI.757] - Firefox ESR 102.9 [NS/uBO/PB] - Thunderbird 102.9.1
Avast-Tools: Secure Browser 109.0 - Cleanup 23.1 - SecureLine 5.18 - DriverUpdater 23.1 - CCleaner 6.01
Avast Wissenswertes (Downloads, Anleitungen & Infos): https://forum.avast.com/index.php?topic=60523.0

scater93

  • Guest
Re: Webseite infiziert?
« Reply #8 on: August 10, 2012, 09:44:03 PM »
Hab ich jetzt auch gemacht ^^, und bis jetzt auch nichts mehr gewesen

Offline Asyn

  • Avast Überevangelist
  • Certainly Bot
  • *****
  • Posts: 76037
    • >>>  Avast Forum - Deutschsprachiger Bereich  <<<
Re: Webseite infiziert?
« Reply #9 on: August 11, 2012, 07:31:54 AM »
Hab ich jetzt auch gemacht ^^, und bis jetzt auch nichts mehr gewesen

Ich denke, das war die richtige Entscheidung.
Und danke für dein Feedback. :)

Schönes Wochenende,
Asyn
W8.1 [x64] - Avast Free AV 23.3.8047.BC [UI.757] - Firefox ESR 102.9 [NS/uBO/PB] - Thunderbird 102.9.1
Avast-Tools: Secure Browser 109.0 - Cleanup 23.1 - SecureLine 5.18 - DriverUpdater 23.1 - CCleaner 6.01
Avast Wissenswertes (Downloads, Anleitungen & Infos): https://forum.avast.com/index.php?topic=60523.0

scater93

  • Guest
Re: Webseite infiziert?
« Reply #10 on: August 11, 2012, 09:20:58 AM »
hmm komisch, jetzt gibt es manchmal auf meiner Seite einen alarm von Avast beim Script-Schutz.
Und das infizierte Script, soll meine Seite sein.

Offline Asyn

  • Avast Überevangelist
  • Certainly Bot
  • *****
  • Posts: 76037
    • >>>  Avast Forum - Deutschsprachiger Bereich  <<<
Re: Webseite infiziert?
« Reply #11 on: August 11, 2012, 10:14:05 AM »
hmm komisch, jetzt gibt es manchmal auf meiner Seite einen alarm von Avast beim Script-Schutz.
Und das infizierte Script, soll meine Seite sein.

Bitte einen Screenshot von dem Popup posten.

Danke,
Asyn
W8.1 [x64] - Avast Free AV 23.3.8047.BC [UI.757] - Firefox ESR 102.9 [NS/uBO/PB] - Thunderbird 102.9.1
Avast-Tools: Secure Browser 109.0 - Cleanup 23.1 - SecureLine 5.18 - DriverUpdater 23.1 - CCleaner 6.01
Avast Wissenswertes (Downloads, Anleitungen & Infos): https://forum.avast.com/index.php?topic=60523.0

scater93

  • Guest
Re: Webseite infiziert?
« Reply #12 on: August 11, 2012, 10:41:39 AM »
hmm, taucht aktuell wieder nicht auf, aber hier mal das was in der Report datei steht:

Script: hxtp://raindust.de
Schweregrad: Hoch
Status: Bedrohung: HTML:Iframe-inf
Aktion: Blockiert
Ergebniss: (Leeres Feld)

hoffe mal das hilft dir auch weiter  :)
« Last Edit: August 11, 2012, 05:40:43 PM by Milos »

Offline Asyn

  • Avast Überevangelist
  • Certainly Bot
  • *****
  • Posts: 76037
    • >>>  Avast Forum - Deutschsprachiger Bereich  <<<
Re: Webseite infiziert?
« Reply #13 on: August 11, 2012, 04:46:05 PM »
hoffe mal das hilft dir auch weiter  :)

Nein, aber ich bekomme auch keine Meldung (mehr..?) von avast! bzgl. deiner Seite.
Sollte es wieder auftreten, bitte einen Screenshot machen und hier posten.

Hinweis: Bitte trotzdem http durch hxxp in deinem letzten Post ersetzen. Danke.
Edit: Hat sich (wieder einmal) erledigt. ::) Bitte in Zukunft keine klickbaren Links mehr posten...!!! Danke.
« Last Edit: August 11, 2012, 05:54:35 PM by Asyn »
W8.1 [x64] - Avast Free AV 23.3.8047.BC [UI.757] - Firefox ESR 102.9 [NS/uBO/PB] - Thunderbird 102.9.1
Avast-Tools: Secure Browser 109.0 - Cleanup 23.1 - SecureLine 5.18 - DriverUpdater 23.1 - CCleaner 6.01
Avast Wissenswertes (Downloads, Anleitungen & Infos): https://forum.avast.com/index.php?topic=60523.0

Offline DJBone

  • Avast Evangelist
  • Starting Graphoman
  • ***
  • Posts: 6366
Re: Webseite infiziert?
« Reply #14 on: August 11, 2012, 05:26:58 PM »
Hier ein Screenshot von mir...

DJBone
Win10 x64, APS (always latest version)
Avast Mobile Security (always latest version)