Webseite infiziert?

[scater93]

Hallo alle zusammen,
Ich wollte hier mal fragen, was man tun kann, wenn man eine webseite hat und man sich ziemlich sicher ist, das diese aus irgendeinem grund mit einem Virus infiziert wurde.
Bei der Betroffenen Webseite, handelt es sich um einen persönlichen Blog von mir, der mit dem CMS Wordpress läuft.

Bevor ich Avast vor 2 Tagen installierte, hatte ich nähmlich immer das Problem das sobald ich meinen "Eigenen" Blog aufrufe, im Hintergrund sich ein Fake Anti Vieren programm mittels- Drive-by Methode installiert hat. Die Freie Version von Avira die ich vor kurzem noch Installiert hatte, konnte nichts dagegen Unternehmen und es kostete mich ca.3 Stunden um diese Schadsoftware wieder loszuwerden.

Im Folgenden hab ich dan Avast installiert und mir eine Virtuelle Machiene Eingerichtet auf der ich das ganze dann nochmal testen wollte. Und tatsächlich, der Installierte Avast alamierte sofort, als ich meinen Blog öffnete, das der Netzwerk-Schutz den zugriff auf diesen Link Link: "hxxp://newsautoua.info/a11", unterband.

Da ich nirgendwo selbst eine weiterleitung auf diesen Link eingebaut habe, und ich mir eigentlich sicher bin das dies nicht durch die Werbung von BinLayer kommt(Ich habe daraufhin mehrfach Webseiten mit BinLayer werbung aufgerufen, um zu Überprüfen ob die Werbung verseucht ist), wollte ich mal nachfragen, was man außer den Blog komplett neu einzurichten, machen kann um dieses Übel evtl. wieder loszuwerden, und wie ich meinen Blog in zukunft(Wenn möglich kostenfrei bzw. Kostengünstig, da es wirklich nur ein Privater Blog ist) schützen kann.


!-- Achtung --!
Hier mal der Link zu meinem Blog hxxp://raindust.de
!-- Achtung --!


Ich bedanke mich schonmal im vorraus, falls mir hier jemand helfen kann.


PS: Falls das hier im Falschen Forenabschnitt ist, möge es ein Moderator bitte in den Richtigen abschnitt verschieben. Danke 

[!Donovan]

http://sitecheck.sucuri.net/results/raindust.de/
http://urlquery.net/report.php?id=122776

Do you still get the alert?
Glauben Sie immer noch die Warnung? (übersetzt mit Google)

[scater93]

no, after avast detected it the fist time, there were no new warnings.
But i think thats only because now avast knows that it has to block the link.


Edit: Forget the answer. Avast detected it again and blocked it.

[polonus]

Hi scater93 & !Donovan,

As I open up the blog site in a file viewer, I am immediately warned about WordPress version number issues on that site.
Wordpress Version 3.3 or 3.4 based on: http://raindust.de/wp-includes/js/autosave.js
From link for view.binlayer dot com/ad-51659.js I get  // eRW: r.o Lmh0dHA= vs. cmFpbmR1c3QuZGU= var blLayer='loaded'; (could be infected),
see: http://www.mywot.com/en/scorecard/view.binlayer.com & http://labs.sucuri.net/?details=view.binlayer.com
General security advice, see: http://de.saferpage.de/raindust (Anweisungen auf Deutsch)
http://www1.uni-hamburg.de/W.Wiedl/Skripte/mod_rewrite/963218312.html  (Um keine Versionsnummer der Serversoftware zu übermitteln)
Outside the general WP upgrade, I do not see much outside the binlayer dot com link issue, binlayer dot com is also being blocked by opendns.com tool
as Malware/Scam/Rogue/Fraud, and also listed as such at malwaredomains.com,

polonus

P.S. Also get an IDS long header alert for GET /v2/cexposer/SIG=12k9qg25e/*htxp%3A//ad.yieldmanager.com/imp?Z=800x440&s=2668009&_salt=3300294866&B=12&m=2&r=0 HTTP/1.1
Host: cookex.amp dot yahoo.com

[Asyn]

@scater93: Bitte in deinem Eingangsbeitrag bei deinen Links http durch hxxp ersetzen..!! Danke. Edit: Hat sich erledigt.

Willkommen im Forum,
Asyn

PS: Wozu brauchst du eigentlich Werbung in einem privaten Blog..??

[scater93]

naja, auch wenns nur ein blog ist aber da er nicht bei einem freien anbieter gehostet ist möchte ich schon iwie ein bisschen der kosten wieder reinhollen ^^
(Die Seite läuft jetzt ca. ein halbes Jahr und ich hab ca. 3 Euro damit verdient)

[polonus]

Ha Asyn und  scater93,

Aber dabei hat er sich mit einem sehr aggresiven Tracker einverbunden. Sehe: http://www.mywot.com/en/scorecard/view.binlayer.com?utm_source=addon&utm_content=warn-viewsc. Hier hat binlayer eine EMD Qualifikation, das bedeutet: "Verbreitet malware (hohes Risiko).
Wurde von hieraus blockiert: http://code.google.com/p/jansal/source/browse/trunk/adblock/urlfilter.ini?r=956
Das ist Bannerwerbung. Sehe zum Script-Versuch : http://www.jmarshall.com/easy/html/f_testbed.html

polonus

[Asyn]

Ich würde die Werbung einfach rauswerfen.
Für 3 € in 6 Monaten rentiert sich der ganze Streß/Ärger ohnehin nicht.
Aber das ist natürlich nur meine persönliche Meinung...

Schönen Abend,
Asyn

[scater93]

Hab ich jetzt auch gemacht ^^, und bis jetzt auch nichts mehr gewesen

[Asyn]

Hab ich jetzt auch gemacht ^^, und bis jetzt auch nichts mehr gewesen

Ich denke, das war die richtige Entscheidung.
Und danke für dein Feedback.

Schönes Wochenende,
Asyn

[scater93]

hmm komisch, jetzt gibt es manchmal auf meiner Seite einen alarm von Avast beim Script-Schutz.
Und das infizierte Script, soll meine Seite sein.

[Asyn]

hmm komisch, jetzt gibt es manchmal auf meiner Seite einen alarm von Avast beim Script-Schutz.
Und das infizierte Script, soll meine Seite sein.

Bitte einen Screenshot von dem Popup posten.

Danke,
Asyn

[scater93]

hmm, taucht aktuell wieder nicht auf, aber hier mal das was in der Report datei steht:

Script: hxtp://raindust.de
Schweregrad: Hoch
Status: Bedrohung: HTML:Iframe-inf
Aktion: Blockiert
Ergebniss: (Leeres Feld)

hoffe mal das hilft dir auch weiter 

[Asyn]

hoffe mal das hilft dir auch weiter 

Nein, aber ich bekomme auch keine Meldung (mehr..?) von avast! bzgl. deiner Seite.
Sollte es wieder auftreten, bitte einen Screenshot machen und hier posten.

Hinweis: Bitte trotzdem http durch hxxp in deinem letzten Post ersetzen. Danke.
Edit: Hat sich (wieder einmal) erledigt. Bitte in Zukunft keine klickbaren Links mehr posten...!!! Danke.

[DJBone]

Hier ein Screenshot von mir...

DJBone