We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Malware - Weiterleitung


Henker
19.06.11, 10:24
So halber Sonntag im PoPo.

Die .htaccess war es. Hätte wohl mal runterscrollen sollen.

Die sollte jetzt Bomdensicher sein.
Weiterleitungen sind auch raus.
Erstmal 4 GB /temp gelöscht .

Viren- und Malewarescans durchgeführt mit Resultat .

So jetzt habe ich den Russen getrotzt und den Taiwanern ^^.

Man wächst eben mit seinen Aufgaben.

whyte
19.06.11, 09:31
mach doch mal ein
Code:
ping www.feuerwehr-neuzelle.de
(hier habe ich die IP 213.186.33.5)
und ein
Code:
ping feuerwehr-neuzelle.de
(hier habe ich die IP 213.186.33.19)

und checke mal evtl. deine C:\Windows\System32\drivers\etc\hosts

desweiteren, mach mal dein router aus, warte 5 min und wieder an.

Edit: wenn ich auf www.feuerwehr-neuzelle.de gehe, werde ich umgeleitet auf feuerwehr-neuzelle.de und bekomme
Code:
Parse error: syntax error, unexpected T_OBJECT_OPERATOR in /homez.302/feuerweh/www/index.php on line 85
haste den fehler gefunden ?

Henker
19.06.11, 06:59
Die IP stimmt so, die habe ich auch so über nslookup.

Sollte mein Kaspersky versagt haben??

Bin am verzweifeln. Bei mir leitet er weiterhin auf diese Seite.

Browsercache ist leer. Mh, ich setz die Seite neu auf. Mal sehen was dann.

Hook
18.06.11, 18:23
Ist denn die IP 213.186.33.19 deine bzw. die auf der das Hosting läuft? (ist eine IP aus dem OVH-Adressbereich)

Tritt das nur bei dir auf oder auch bei anderen Leuten? (hier im Forum scheinen ja keine ein Problem zu haben)

Die Nameserver-Einträge der Domain sehen von hier normal aus, aber was ergibt denn von dir aus der Aufruf von nslookup feuerwehr-neuzelle.de in der cmd?

RockyBaby
18.06.11, 15:52
auch gerade getestet und im firefox und IE keine Weiterleitung

EvilMoe
18.06.11, 15:46
Ich auch nicht weitergeleitet. Egal ob IE 9 oder Chrome 13.

chi
18.06.11, 15:35
Ich seh nur das Directory listing.

Vllt auf dem heimischen Rechner etwas eingefangen?

Henker
18.06.11, 15:25
Ich nach wie vor

http://feuerwehr-neuzelle.de/ >>>

cache ist gelöscht

man merke sich, nur unter IE

ALiEn
18.06.11, 15:04
FTP ist leer, was soll ich da jetzt prüfen.
Fehler weiterhin vorhanden.
Also ich werde nicht umgeleitet?!

Henker
18.06.11, 14:38
Zitat Zitat von spoi
Check Summen der einzelnen Dateien mit denen aus einem frischen Download vergleichen und in den Dateien wo es Differenzen gibt genau nachschauen. (Linux => md5sum)

Alternativ frische Installation machen und nur die Templatedaten und nen MySQL Dump einspielen. Wobei das Template und der Dump natürlich vorher gründlichst untersucht werden sollte!
FTP ist leer, was soll ich da jetzt prüfen.
Fehler weiterhin vorhanden.

Was mich gerade unheimlich irre macht. Offenbar wurde ja nicht meine Seite gehackt ^^.

Checksummen wurden auch überprüft. Bin kein Anfänger, ich kenne die Möglichkeiten.

Die Checksummen stimmen/stimmten überein. Die On-Board Methoden sind ausgereizt.

spoi
18.06.11, 14:35
Zitat Zitat von Henker
Echt dumm, wie soll man alle .php´s abchecken.
Check Summen der einzelnen Dateien mit denen aus einem frischen Download vergleichen und in den Dateien wo es Differenzen gibt genau nachschauen. (Linux => md5sum)

Alternativ frische Installation machen und nur die Templatedaten und nen MySQL Dump einspielen. Wobei das Template und der Dump natürlich vorher gründlichst untersucht werden sollte!

Henker
18.06.11, 13:31
Zitat Zitat von k!mmel
CMS? Joomla?
Negativ!

CMS made simple

Echt dumm, wie soll man alle .php´s abchecken.

So, Seite komplett vom Server gelöscht, der Fehler besteht weiterhin.

k!mmel
18.06.11, 13:17
CMS? Joomla?

Henker
18.06.11, 13:03
Warum nur im internetExplorer??

Ja ist ein SharedHosting. Wie kanns im Quelltext sein??

www. .... funktioniert doch ohne probleme

nur http:// .... leitet auf diese Schei* Seite.

Bin alles durchgegangen. Index.php getauscht. Quelltext schon lange bevor ich hier poste gecheckt. Somit such ich den Fehler mal eben bei OVH.

Die .htaccess ist sauber.

Wir reden hier von auf CMS auf php5 mit MySQL.

Im FireFox ruft er beide URL´s ganz normal auf.

s_ag_a
18.06.11, 12:53
Zitat Zitat von Henker
http://feuerwehr-neuzelle.de
>> redirect s y n t a x s w i t c h . r u [...] (Edit by Tommi) - Edit by s_ag_a, merci.
der Aufruf
hxxp://www.feuerwehr-neuzelle.de
funktioniert einwandfrei.
Dieses Problem besteht nur mit dem InternetExplorer.
Bitte entferne doch diese Links, wenn du im klaren bist, dass diese Schädlich sein könnten.
...unter "Zusätzliche Einstellungen" den Hacken bei "Links automatisch umwandeln" heraus nehmen.

So als Info:
Code:
www.feuerwehr-neuzelle.de. 86400 IN CNAME feuerwehr-neuzelle.de.
Das ist ein Shared Hosting Server von OVH (soviel ich weiss...)
Hast du ein Shared Hosting bei OVH gemietet? - Könnte ja sein

Zitat Zitat von Saschilys
Schau mal im Quelltext nach, ob es da eine Weiterleitung gubt, oder in der httaccess.
http://jsunpack.jeek.org/dec/go?repo...1aadd487d0e999
Saschilys hat wohl recht, deine Seite wurde gehackt.
Es sieht so aus als ob deine Seite Drive-By-Download Viren einschleusen möchte.

Saschilys
18.06.11, 11:25
Schau mal im Quelltext nach, ob es da eine Weiterleitung gubt, oder in der httaccess.
Sieht fast so aus, als wärst du gehackt worden (wenn es deine Seite sein sollte)

Henker
18.06.11, 07:40
Hallo,

die Domain feuerwehr-neuzelle.de wird mit folgenden aufruf auf eine Malware-Seite weitergeleitet.

http://feuerwehr-neuzelle.de
>> redirect s y n t a x s w i t c h . r u [...] (Edit by Tommi)

der Aufruf

http://www.feuerwehr-neuzelle.de

funktioniert einwandfrei.

Dieses Problem besteht nur mit dem InternetExplorer.

Die Prüfung ergab

http://i56.tinypic.com/1zf7l04.png

http://i53.tinypic.com/i25b2o.png


nur werde ich nicht draus schlau ob OVH was verbockt hat oder ich.

Bin sämtliche Einstellungen durchgegangen.

Help