Hallo Zusammen,

ich möchte mich zu aller erst beim Forenteam für das Aufbauen dieser Community bedanken, hab hier schon häufig Lösungen für Probleme finden können. Für mein aktuelles Problem allerdings bislang noch nicht, weshalb ich hier jetzt schreibe und hoffe dass mir jemand helfen kann :-)

Und zwar geht es um folgendes: Ich betreibe eine Wordpress-Seite. Seit einer Weile warnen diverse Virenscanner wie AVG, F-Secure, Bitdefender etc. vor dieser Seite und behaupten, dass diese schädlich sei. Ich habe schon mit diversen Methoden versucht herauszufinden wo das Problem liegen kann, konnte aber nichts finden und bin mir meinem Latein am Ende.
Es geht um www.pulsmedien.de

Hat jemand von euch vielleicht eine Idee woran es liegen könnte und hat evtl. sogar eine Lösungsidee?

Viele Grüße
peter

Wenn ich die Seite besuche kommt diese Warnung

Ich habe grad mal den geparsten HTML Code darauf abgesucht aber nichts gefunden. Hast du eine Idee wo sich das Problem eingenistet hat?

...zur Info:
Ich habe die Seite eben aufgerufen und KEINE Warnung erhalten.
Aufruf erfolgte in "Sandboxie", aktiver Virenscanner ist avast!


Aufruf mit:
- Win8 Enterprise Evaluation (32 bit)
- Opera 16.0
- avast! vers. 8.0.1497
- mit Virenkennung vom 12.09.2013



Hast du die "Original"-Dateien noch offline verfügbar oder arbeitest du nur direkt auf dem Server?

Wenn noch offline verfügbar, könntest du doch einen direkten Vergleich mit den auf dem Server gespeicherten Dateien machen, um den Aufruf bzw. den in deiner Seite eventuell eingeschleusten schädlichen Code zu lokalisieren.

Hallo Jörg.
Info:
Ich habe eben versucht die Seite aufzurufen.
Benutze:
Oracle Virtual box
Win7 Home Premium 64 bit
Firefox 23.0.1
avast! 8.0.1497(free), Datenbanken aktuell vom 12.09.2013
bei mir erfolgt Warnung, und die Seite wird blockiert.
Grüße.

Zitat:

Zitat von jrahe

Hast du die "Original"-Dateien noch offline verfügbar oder arbeitest du nur direkt auf dem Server?

Wenn noch offline verfügbar, könntest du doch einen direkten Vergleich mit den auf dem Server gespeicherten Dateien machen, um den Aufruf bzw. den in deiner Seite eventuell eingeschleusten schädlichen Code zu lokalisieren.

Hallo jrahe,

ich arbeite direkt auf dem Server. Bei Wordpress bietet es sich ja durch das Backend an.
Weißt du was typische Quellen sind, die solche Codes mit reinbringen?

...nein, das weiß ich leider nicht.

Ich könnte mir mehrere Varianten vorstellen:
- deine Quelltexte sind verändert worden
- der Server von Wordpress ist komprimittiert worden
- Server, auf deren Inhalte du verlinkst (z.B. Buchcover), sind komprimittiert
- ein Abfangen und Umleiten der integrierten Links

Ein Fehlalarm ist bei mehreren Scannern und einer expliziten Angabe wie im Anhang von Post #2 wohl eher auszuschließen.

Ok, vielen Dank für die Hinweise.
Weißt du zufällig wie Programme wie Bitdefender auf Malware und Schadsoftware prüft?
Prüft es in Echtzeit oder quasi per Blacklist?
Weil wenn es in Echtzeit prüft könnte ich sukzessive Dateien und Inhalte entfernen und so per Ausschlusskriterium den Schädling finden.

Nachtrag: Ich hab eben mal ein Backup gemacht und alles auf meinem XAMPP installiert, da meldet Bitdefender keine Probleme. Wenn Bitdefender nun keine Echtzeitprüfung machen sollte sondern nur mit Blacklists arbeitet, ist der Grund klar. Aber wie könnte ich das dann prüfen?

Meines Wissens prüfen alle seriösen Virenscanner mit mehreren Verfahren:
a) Daten-Basis der Überprüfung:
- per "Blacklist" (= das sind die Virendatenbanken bzw. -Kennungen, die am besten täglich zu aktualisieren sind)
- per "Heuristic" (= hier werden nach bestimmten Verhaltensauffälligkeiten Dateien schon als vermutliche Viren eingestuft, die so noch gar nicht in Datenbanken vorhanden sind.)
(...gerade dieses "heuristische" Verfahren neigt allerdings per se dazu, für "Fehlalarme" anfällig zu sein)

b) Zeitpunkt der Überprüfung:
- per "Echtzeitscanner" (z.B. permanente Kontrolle beim webschutz oder Downloaden einer Datei)
- per "manuell" oder als zeitlicher "Task" (= als "Vollscan" oder bezogen auf ausgewählte Dateien/Ordner/Partitionen)


Ich gehe davon aus, daß Bitdefender eine Echtzeitprüfung integriert hat.

Ja genau, wenn ich per Rechtsklick Bitdefender prüfen lasse, erkennt er keine Schadsoftware o.ä. Ich bekomme im Protokoll folgendes Ergebnis:

Nach Viren suchen:Ja
Nach Adware suchen:Ja
Nach Spyware suchen:Ja
Nach Anwendungen suchen:Ja
Nach Dialern suchen:Ja
Nach Rootkits suchen:Nein
Nach Keyloggern suchen:Ja

Allerdings zeigte der Post von Argus ja an, dass es sich auf pulsmedien.de um Malware handelt. In diesem Protokoll prüft Bitdefender allerdings garnicht auf Malware, oder passt es in eine der oberen Kategorien mit rein?

Da die Webseite auch von F-Secure als schädlich eingestuft wurde, habe ich an F-Secure eine E-Mail gesendet mit Bitte um Aufklärung, woraufhin ich nun eine Antwort erhalten habe, dass die Seite nicht schädlich ist, und aus deren Blacklist entfernt wurde...
Der Post von Argus zeigte ja aber relativ eindeutig, dass irgendwo eine Schadsoftware eingebunden sein müsste.
Ich schließe daraus, dass diese Schadsoftware also nur sporadisch ausgegeben wird. Das kann ich mir ehrlichgesagt nicht erklären... Ich finde nirgends I-Frames oder sonstige potentiell schädliche externe Links...

Nachtrag: Eine kurze Frage an Argus: Welches Antivirus bzw. Browsing Protection Programm nutzt du?

NoScript zeigt ein swtcommfickner.biz Skript an. Ich schätze das beinhaltet die Malware.
Was'n Schrott.

Zitat:

Zitat von Darklord666

NoScript zeigt ein swtcommfickner.biz Skript an. Ich schätze das beinhaltet die Malware.
Was'n Schrott.

Ah, ich glaube das kommt dem Problem sehr nahe. Mit NoScript meinst du das NoScript AddOn für Firefox, das sämtliche <script>-Tags verbietet richtig?
Kannst du mir sagen auf welchen Seiten das vorliegt? Wie sehe ich in dem NoScript Addon, um was für eine Art Skript es sich handelt? Ich habs jetzt mal installiert, und er zeigt mir unten nur an dass bspw 3 Script-Tags verboten wurden.

Zitat:

Mit NoScript meinst du das NoScript AddOn für Firefox, das sämtliche <script>-Tags verbietet richtig?

Genau das meine ich.

Zitat:

Kannst du mir sagen auf welchen Seiten das vorliegt?

Verstehe den Satz nicht.

Zitat:

Wie sehe ich in dem NoScript Addon, um was für eine Art Skript es sich handelt?

Gar nicht. Jedes Skript ist potentiell schädlich.

Zitat:

Ich habs jetzt mal installiert, und er zeigt mir unten nur an dass bspw 3 Script-Tags verboten wurden.

Das schädliche Skript scheint weg zu sein, wird mir nicht mehr angezeigt. Versuch's noch mal. Vllt. ein temporarärer Angriff auf die Seite ???

Zitat:

Zitat von Darklord666

Verstehe den Satz nicht.

Meine Frage zielte darauf ab, auf welchen Unterseiten von pulsmedien dieses Skript angezeigt wurde? Wurde es auf allen Seiten (Startseite, Aktuelles, Vorschau, kontakt etc.) oder nur auf einer speziellen angezeigt?

Zitat:

Zitat von pexmar

Meine Frage zielte darauf ab, auf welchen Unterseiten von pulsmedien dieses Skript angezeigt wurde? Wurde es auf allen Seiten (Startseite, Aktuelles, Vorschau, kontakt etc.) oder nur auf einer speziellen angezeigt?

Ach sooo. Auf der Hauptseite. Weiter bin ich nicht gegangen.