Hallo,
ich betreibe einen Internetshop und habe heute von google die Mitteilung bekommen das auf unserer Seite Malware ist.

Wenn ich aber mit meinem PC auf diese Seite komme wir mir von Kaspersky nichts angezeigt. Wie kann ich die Seite nach Malware untersuchen?
oder ist das nur ein fehl alarm von Google?

Hallo Vollautomat

Zitat:

Zitat von Vollautomat

ich betreibe einen Internetshop und habe heute von google die Mitteilung bekommen das auf unserer Seite Malware ist.

Du hast auf nur einer Seite einen Shop?
Site != Seite

Zitat:

Zitat von Vollautomat

Wie kann ich die Seite nach Malware untersuchen?

schau nach Scripts n den Dateien die nicht von dir/euch stammen - besonders geren ganz am Ende. Schau nach Dateien, die nicht von dir/euch stammen

Zitat:

Zitat von Vollautomat

oder ist das nur ein fehl alarm von Google?

Selten

Bin grade leicht am Wahnsinnig werden.
Bekomme immer noch iframe gelegendlich angezeigt.
Habe das bis jetzt mehrfach probiert:

-Windows PC ersetzt durch neu aufgesetzten ubuntu Rechner.
-Passwörter für ftp,eMail,Confix sowie SQL geändert (12stellig groß+klein+zahlen+Sonderzeichen)
- Inhalt des Webspaces (der /html Ordner) komplett gelöscht.
- Sauberes Installations Packet vom Hersteller gezogen
- Das ganze mit ubuntu rechner hochgeladen (passwörter nicht gespeichert)
- Backend des Shop nur mit dem ubuntu Rechner benutzt.
- Daten nach infect runtergeladen und verglichen ohne erfolg.

und jedesmal bekomme ich wieder nach kurzerzeit die iframes.

Ein bekannt hat übrigens auch schon vor einigen tagen beim einloggen auf die Confixx oberfläche eine Wahnmeldung von Kaspersky bekommen.

Kann es sein das sich mein Hoster etwas eingefangen hat?

Zitat:

Zitat von Vollautomat

- Daten nach infect runtergeladen und verglichen ohne erfolg.

Kein UNterschied, oder wie oder was?

Zitat:

Zitat von Vollautomat

und jedesmal bekomme ich wieder nach kurzerzeit die iframes.

Sie sind tatsächlich dann im Seitenquellcode drinnen?
Wie schnell?

Zitat:

Zitat von Vollautomat

Ein bekannt hat übrigens auch schon vor einigen tagen beim einloggen auf die Confixx oberfläche eine Wahnmeldung von Kaspersky bekommen.

Selber Webspace/Vertrag/Domain/... ?

Zitat:

Zitat von Vollautomat

Kann es sein das sich mein Hoster etwas eingefangen hat?

Sein kann alles. Wer ist der Hoster?
Welche PHP-Version (wenn vorhanden) läuft, welche Shopsoftware, welche Webserver-Version?

1.) Der Inhalt ist gleich nur die größe der Datein die ich vom Server geladen habe sind minimal kleiner als die aus dem Installtions Paket.

2.) Auf meinem Rechner sehe ich im Quelltext keinen ifram mit dem Link im Klartext. Nur auf 4 anderen Rechnern springt Kaspersky gelegendlich an. Deswegen ist auch schwer zu sagen wie lange es dauert oder ob es sofort da ist.

3.) Ja ist das gleiche Confixx Center wie wir haben.

4.) Der Hoster ist Tophoster.de + PHP Version habe ich 5.2 und 5.3 getestet mit gleichem erfolg. Als Shopsoftware haben wir vor dem ersten angriff XTC-modify genutzt danach alles gelöscht und uns einen JTL-Shop3 gekauft.

Links solte ich hier wohl nicht posten zu den Seiten oder?

P.s. auf der Seite https://www.webhostlist.de/forum/ausfaelle/122539-malware-warnung.html
wurde bereits über ein zimlich ähnliches verhalten diskutiert.

Zitat:

Zitat von Vollautomat

Links solte ich hier wohl nicht posten zu den Seiten oder?

Das kannst du - wenn du willst - mal per PN an mich machen.
Ohne Garantie dass ich heute viel Zeit habe

Du hast Post

Zitat:

Zitat von Vollautomat

mir würde es schon reichen wenn du mir sagen könntest ob du dort etwas verdächtiges findest.

Auf deiner Homepage schon. Der iframe ist (war) mehr als verdächtig, hast du den Eintrag gerade wieder gelöscht?

Die confixx-Startseite sieht eigentlich in Ordnung aus.

Nein habe nichts auf den Seiten gemacht.
Das ist ja halt auch das komische daran.
Mal ist der iFrame da mal nicht, das gleiche gild auch für das Confixx.

Warst warscheinlich erst im shop und dann im Confixx.

Genau so ist das mei mir, wenn ich dann Cockies und Temporäre Datein lösche kommt das ganze irgendwann noch mal.

Ist aber immer auf einer anderen Seite und läßt sich nicht wirklich replizieren.

Genau das Problem das auf dem oben geposteten Link von mir beschrieben ist

Es war bei beiden Shopsystemen das gleiche?

Wenn es in Confixx tatsächlich auch ist, dann ist es ziemlich sicher ein Problem Seitens des Hosters, denn auf dem Server sind ein paar Hundert Domains, deshalb dürftest du wohl keinen wirklichen Zugriff zum Verzeichnis haben, in dem Confixx liegt.
tophoster.de ist media:Webline Internet Solutions GmbH.