OVH Community, your new community space.

Malware - Weiterleitung

Henker

19.06.11, 09:24

So halber Sonntag im PoPo.

Die .htaccess war es. Hätte wohl mal runterscrollen sollen.

Die sollte jetzt Bomdensicher sein.
Weiterleitungen sind auch raus.
Erstmal 4 GB /temp gelöscht .

Viren- und Malewarescans durchgeführt mit Resultat .

So jetzt habe ich den Russen getrotzt und den Taiwanern ^^.

Man wächst eben mit seinen Aufgaben.

whyte

19.06.11, 08:31

mach doch mal ein

Code:

ping www.feuerwehr-neuzelle.de

(hier habe ich die IP 213.186.33.5)
und ein

Code:

ping feuerwehr-neuzelle.de

(hier habe ich die IP 213.186.33.19)

und checke mal evtl. deine C:\Windows\System32\drivers\etc\hosts

desweiteren, mach mal dein router aus, warte 5 min und wieder an.

Edit: wenn ich auf www.feuerwehr-neuzelle.de gehe, werde ich umgeleitet auf feuerwehr-neuzelle.de und bekomme

Code:

Parse error: syntax error, unexpected T_OBJECT_OPERATOR in /homez.302/feuerweh/www/index.php on line 85

haste den fehler gefunden ?

Henker

19.06.11, 05:59

Die IP stimmt so, die habe ich auch so über nslookup.

Sollte mein Kaspersky versagt haben??

Bin am verzweifeln. Bei mir leitet er weiterhin auf diese Seite.

Browsercache ist leer. Mh, ich setz die Seite neu auf. Mal sehen was dann.

Hook

18.06.11, 17:23

Ist denn die IP 213.186.33.19 deine bzw. die auf der das Hosting läuft? (ist eine IP aus dem OVH-Adressbereich)

Tritt das nur bei dir auf oder auch bei anderen Leuten? (hier im Forum scheinen ja keine ein Problem zu haben)

Die Nameserver-Einträge der Domain sehen von hier normal aus, aber was ergibt denn von dir aus der Aufruf von nslookup feuerwehr-neuzelle.de in der cmd?

RockyBaby

18.06.11, 14:52

auch gerade getestet und im firefox und IE keine Weiterleitung

EvilMoe

18.06.11, 14:46

Ich auch nicht weitergeleitet. Egal ob IE 9 oder Chrome 13.

chi

18.06.11, 14:35

Ich seh nur das Directory listing.

Vllt auf dem heimischen Rechner etwas eingefangen?

Henker

18.06.11, 14:25

Ich nach wie vor

http://feuerwehr-neuzelle.de/ >>>

cache ist gelöscht

man merke sich, nur unter IE

ALiEn

18.06.11, 14:04

FTP ist leer, was soll ich da jetzt prüfen.
Fehler weiterhin vorhanden.

Also ich werde nicht umgeleitet?!

Henker

18.06.11, 13:38

Zitat von spoi

Check Summen der einzelnen Dateien mit denen aus einem frischen Download vergleichen und in den Dateien wo es Differenzen gibt genau nachschauen. (Linux => md5sum)

Alternativ frische Installation machen und nur die Templatedaten und nen MySQL Dump einspielen. Wobei das Template und der Dump natürlich vorher gründlichst untersucht werden sollte!

FTP ist leer, was soll ich da jetzt prüfen.
Fehler weiterhin vorhanden.

Was mich gerade unheimlich irre macht. Offenbar wurde ja nicht meine Seite gehackt ^^.

Checksummen wurden auch überprüft. Bin kein Anfänger, ich kenne die Möglichkeiten.

Die Checksummen stimmen/stimmten überein. Die On-Board Methoden sind ausgereizt.

spoi

18.06.11, 13:35

Zitat von Henker

Echt dumm, wie soll man alle .php´s abchecken.

Check Summen der einzelnen Dateien mit denen aus einem frischen Download vergleichen und in den Dateien wo es Differenzen gibt genau nachschauen. (Linux => md5sum)

Alternativ frische Installation machen und nur die Templatedaten und nen MySQL Dump einspielen. Wobei das Template und der Dump natürlich vorher gründlichst untersucht werden sollte!

Henker

18.06.11, 12:31

Zitat von k!mmel

CMS? Joomla?

Negativ!

CMS made simple

Echt dumm, wie soll man alle .php´s abchecken.

So, Seite komplett vom Server gelöscht, der Fehler besteht weiterhin.

k!mmel

18.06.11, 12:17

CMS? Joomla?

Henker

18.06.11, 12:03

Warum nur im internetExplorer??

Ja ist ein SharedHosting. Wie kanns im Quelltext sein??

www. .... funktioniert doch ohne probleme

nur http:// .... leitet auf diese Schei* Seite.

Bin alles durchgegangen. Index.php getauscht. Quelltext schon lange bevor ich hier poste gecheckt. Somit such ich den Fehler mal eben bei OVH.

Die .htaccess ist sauber.

Wir reden hier von auf CMS auf php5 mit MySQL.

Im FireFox ruft er beide URL´s ganz normal auf.

s_ag_a

18.06.11, 11:53

Zitat von Henker

http://feuerwehr-neuzelle.de
>> redirect s y n t a x s w i t c h . r u [...] (Edit by Tommi) - Edit by s_ag_a, merci.
der Aufruf
hxxp://www.feuerwehr-neuzelle.de
funktioniert einwandfrei.
Dieses Problem besteht nur mit dem InternetExplorer.

Bitte entferne doch diese Links, wenn du im klaren bist, dass diese Schädlich sein könnten.
...unter "Zusätzliche Einstellungen" den Hacken bei "Links automatisch umwandeln" heraus nehmen.

So als Info:

Code:

www.feuerwehr-neuzelle.de. 86400 IN CNAME feuerwehr-neuzelle.de.

Zitat von Henker

Die Prüfung ergab

http://i56.tinypic.com/1zf7l04.png

http://i53.tinypic.com/i25b2o.png

Das ist ein Shared Hosting Server von OVH (soviel ich weiss...)
Hast du ein Shared Hosting bei OVH gemietet? - Könnte ja sein

Zitat von Saschilys

Schau mal im Quelltext nach, ob es da eine Weiterleitung gubt, oder in der httaccess.

http://jsunpack.jeek.org/dec/go?repo...1aadd487d0e999
Saschilys hat wohl recht, deine Seite wurde gehackt.
Es sieht so aus als ob deine Seite Drive-By-Download Viren einschleusen möchte.

Saschilys

18.06.11, 10:25

Schau mal im Quelltext nach, ob es da eine Weiterleitung gubt, oder in der httaccess.
Sieht fast so aus, als wärst du gehackt worden (wenn es deine Seite sein sollte)

Henker

18.06.11, 06:40

Hallo,

die Domain feuerwehr-neuzelle.de wird mit folgenden aufruf auf eine Malware-Seite weitergeleitet.

http://feuerwehr-neuzelle.de
>> redirect s y n t a x s w i t c h . r u [...] (Edit by Tommi)

der Aufruf

http://www.feuerwehr-neuzelle.de

funktioniert einwandfrei.

Dieses Problem besteht nur mit dem InternetExplorer.

Die Prüfung ergab

http://i56.tinypic.com/1zf7l04.png

http://i53.tinypic.com/i25b2o.png

nur werde ich nicht draus schlau ob OVH was verbockt hat oder ich.

Bin sämtliche Einstellungen durchgegangen.

Help