Erst mal die Vorgeschichte, ich bekam von google am 17.02.2011 eine Mail mit dem Hinweis das meine Webseite www.hausline.com mit dem: HTML / Infected.WebPage.Gen Virus infiziert ist, mit einigen tips wie oder was ich nun machen muss.

Zitat:

Google Email: 17.02.2011 01:06p.m.

Dear site owner or webmaster of hausline.com,


We recently discovered that some of your pages can cause users to be infected with malicious software. We have begun showing a warning page to users who visit these pages by clicking a search result on Google.com.

Below are some example URLs on your site which can cause users to be infected (space inserted to prevent accidental clicking in case your mail client auto-links URLs):

hxxp://hausline .com/
hxxp://www.hausline .com/

Here is a link to a sample warning page:
hxxp://www.google.com/interstitial?url=http%3A//hausline.com/

We strongly encourage you to investigate this immediately to protect your visitors. Although some sites intentionally distribute malicious software, in many cases the webmaster is unaware because:

1) the site was compromised
2) the site doesn't monitor for malicious user-contributed content
3) the site displays content from an ad network that has a malicious advertiser


If your site was compromised, it's important to not only remove the malicious (and usually hidden) content from your pages, but to also identify and fix the vulnerability. We suggest contacting your hosting provider if you are unsure of how to proceed. StopBadware also has a resource page for securing compromised sites:
hxxp://www.stopbadware.org/home/security

Once you've secured your site, you can request that the warning be removed by visiting
hxxp://www.google.com/support/webmasters/bin/answer.py?answer=45432
and requesting a review. If your site is no longer harmful to users, we will remove the warning.

Sincerely,
Google Search Quality Team

Note: if you have an account in Google's Webmaster Tools, you can verify the authenticity of this message by logging into https://www.google.com/webmasters/tools/siteoverview and going to the Message Center, where a warning will appear shortly.

Da ich aber kein Computer Genie bin, habe ich darauf gleich meinen Hosting Anbieter angeschrieben und in geben sich bitte um das Problem zu kümmern oder zumindest mir erklären kann, was ich denn nun machen muss/kann. Prompt kriegte ich auch eine Bestätigungs- mail meines Anbieters mit einer kläglichen Erklärung.

Zitat:

Sehr geehrter Kunde,

vielen Dank für Ihre Anfrage.

Möglicherweise wurde eine schwachstelle in dem von Ihnen genutzten CMS ausgenutzt um schädlichen Code über Ihre Webseite zu verbreiten. Bitte prüfen Sie dies und entfernen Sie den entsprechenden Code von Ihrer Webseite um Google zu besänftigen.

Bei weiteren Fragen stehen wir Ihnen gerne zur Verfuegung.

Mit freundlichen Gruessen,

Simon Röder

Ich schrieb darauf hin ihn erneut an, mit dem hinweis- das ich leider keine Ahnung habe was sie meinten und wass ich nun machen muss / kann. Gestern am 18.02.2011 erhielt ich nun eine erneute Email meines Hostinganbieters mit dem Hinweis (falls richtig übersetzt) meine (Mehrzahl) Domains einfach aus dem verkehr gezogen wurden.

Zitat:

Dear customer,

the domain name hausline.com was apparently compromised and used for the distribution of viruses.
We also checked your other domain names and all showed the same infection:

HTML/Infected.WebPage.Gen

We therefore disabled your domain names and have frozen your account due to violation of our terms of use.
Best regards,

Volker Greimann
Your Team @ RRPproxy.net

Sichtlich geschockt über diese Nachricht machte ich mich auf, den Anbieter zu erreichen (bis an hin erfolglos) einzig eine weitere email (Weiterleitung) erreichte mich noch aus versehen, wo noch von einer anderen mir fremden Webseite gesprochen wurde die anscheinend auch infiziert ist und auf dem gleichen server meines Hosting Anbieters liegt.

Zitat:

---- Forwarded message from Christopher Kunz <chris@de-punkt.de> ---

From: Christopher Kunz <chris@de-punkt.de>
To: abuse@key-systems.net
Subject: Fwd: Safe Browsing Report for ASN47215 (FILOO-ASN) on 02/17/2011
Date: 2011-02-18 07:15:02

> Hi,
>
> die beiden u.g. Domains sind bei Euch gehosted und verteilen wohl Malware.
>
> --ck
>
> -------- Original-Nachricht --------
> Betreff: Safe Browsing Report for ASN47215 (FILOO-ASN) on 02/17/2011
> Datum: Fri, 18 Feb 2011 06:01:58 +0000
> Von: Google Safe Browsing <noreply@google.com>
> An: chris@filoo.de
>
> Google detected 4 suspicious URLs (space inserted to prevent accidental
> clicking in case your email client auto-links URLs):
>
> hxxp://bank .ag/verzeichnis/ Vorsicht!!
> hxxp://hausline .com/
> hxxp://www.bank .ag/verzeichnis/ Vorsicht!!
> hxxp://www.hausline .com/
>
> Gruß,
>
> --ck
>
> --
> Filoo GmbH
> Christopher Kunz, Geschäftsführer
>
> E-Mail: chris@filoo.de
> Tel.: (+49) 0 52 48 / 1 89 84 -11
> Fax: (+49) 0 52 48 / 1 89 84 -20
>
> Please sign & encrypt mail wherever possible, my key:
> C882 8ED1 7DD1 9011 C088 EA50 5CFA 2EEB 397A CAC1
>
> Tilsiter Str. 1 33449
> Langenberg
>
> HRB4355, AG Gütersloh
> Geschäftsführer: S.Grewing, J.Rehpöhler, C.Kunz
>
> Folgen Sie uns auf Twitter: hxxp://twitter.com/filoogmbh
>
---- End forwarded message ---

da es sich ja nicht nur um meine eigene Webseite handelt sondern auch noch um 32 meiner Kunden Seiten inkl. aller Ihrer Email Konten dieser Webseiten (alle domains sind eingefroren - zur zeit unbenutzbar sind) ist das ein sehr großes Problem.

Was mich aber am meisten Nervt, ist die Tatsache das die andere Webseite die nichts mit mir zu tun hat außer, das wir beim gleichen hosting Anbieter sind, weiterhin normal in betrieb ist und laut avira auch weiterhin den Virus verteilt.

Die frage ist nun, was kann ich machen um den Virus zu beseitigen auf der Serverseite, da auf meiner Maschine der Virus nicht angezeigt wird. Ich habe auch nach dem scan die betreffende Webseite neu hoch geladen auf den Server. Gibt es überhaupt eine Lösung für eine entsprechende Reinigung auf der Serverseite? Brauche eine entsprechende Lösung um diese meinem Hosting Anbieter am Montag Morgen vor zu schlagen.

Hallo,

wenn du keine Ahnung hast, wer administriert/pflegt diese Seiten mit dem Content und dem dahinterstehenden CMS?
hast du überhaupt eine Ahnung, welches CMS für diese Seite verwendet wird? Die Seite kann ich übrigens nicht mal aufrufen.

Zitat:

Möglicherweise wurde eine schwachstelle in dem von Ihnen genutzten CMS ausgenutzt um schädlichen Code über Ihre Webseite zu verbreiten. Bitte prüfen Sie dies und entfernen Sie den entsprechenden Code von Ihrer Webseite um Google zu besänftigen.

Ist die übliche Masche und folgerichtig, wenn wichtige Updates verpennt werden. Wer also pflegt diese Seite?

ich erstelle die Seiten in Html und css mit frontpage oder Dreamweaver 8. je nach dem. Verwende kein flash da keine Erfahrung vorhanden, danach lade ich sie mit meinem Ws_ftp pro direkt auf den Server auf. In dem sinne verwende ich kein CMS Programm zur pflege, das frontpage verwende ich an sich nur zum testen der Seiten, ohne die Benutzung der dort angebotenen vorlagen und Möglichkeiten usw. von frontpage. Da die meisten Seiten eh nur statischen mit gif Inhalt haben und die Kunden an sich nur selten was geändert haben möchten. Abgesehen davon bin ich mehr der Design Spezialist als ein Programmierer und halte mich deshalb mehr an das Html und css wie was anderes.

Das sich die Seite nicht öffnen lässt, ist weil der Host Anbieter kurzerhand heute alle meine Domains (32) einfach eingefroren hat.

Abgesehen davon wechsle normal monatlich das ftp Passwort aus Sicherheits- gründen.

Es stellt sich hier meine frage kann es sein das ev. meine Seiten und die fremde Bankseite auf dem gleichen Server liegen und das diese Bankseite an sich das opfer eines Angriffs war, und sich der Virus dann auf meine Seiten ausweitete? Weil ich kann mir beim besten willen nicht erklären wie sonst der Virus auf meine Seiten kommt, vor allem da es dort einige Seiten gibt wo ich seit gut 2 Jahren nichts mehr gemacht oder geändert habe und laut ansage des Hosting Anbieters alle meine Domains und Webseiten von dem Virus befallen sind.

Wenn man unter google sucht und Gebicon eingibt sieht man die Anzahl meiner verschiedenen Webseiten.

Was alles musst du denn pflegen bei deiner Seite? Bist du bzw. ihr als Kunden auch für die Einspielen von Sicherheitsupdates verantwortlich? Mit diesen Updates meine ich dir für das Betriebssystem, Webserver etc. oder macht das der Hoster?

Alles was das einspielen von Programmen , updates, DNS usw. an geht macht der hoster, es gibt zwar die Möglichkeit beschränkt auch selber Sachen hoch zu laden hab ich mal gelesen aber das ist dann eine Sektion für Profis und du musst um dort rein zu kommen erst die alte/ bestehende Konfiguration verlassen und das ist der einzigste Link im Admin Menü den ich nicht mal anschaue geschweige den sogar anklicken würde.

Der Hosting Anbieter: domaindiscount24.com

Auch was Datenbank an geht, lasse ich die Finger von, da ich keine Ahnung habe was wie oder wo man was machen kann. Hab sogar jetzt noch ein altes Foren was inaktive ist und ohne domain zuteilung, was ich seit jahren nicht lösche da ich mich nicht getraue oder gar zumute mich in die My Squl Datenbank ein zu klicken

Hier die neuste Antwort meines Hosting Anbieter:
vielen Dank für Ihre Antwort. Wir haben Ihr Account wieder aktiviert, um Ihnen ein Update Ihrer Domaindaten zu ermöglichen. Die Domains können, sobald die Inhalte von Ihnen neu aufgespielt wurden, durch Eintragung neuer Nameserver wieder aktiviert werden. Wir empfehlen ebenfalls eine Änderung Ihrer Zugangspasswörter zu Ihrem Webspace.

> Können sie mir sagen welche anderen Domains betroffen sind?

Nachdem wir die Viruswarnung erhalten haben, haben wir sämtlich Domains in Ihrem Account überprüft. Dabei wurde die Infektion mit Malware unter den folgenden Domainnamen identifiziert. Die Domains wurden entsprechend unserer AGB umgehend deaktiviert und Sie haben unsere entsprechende Nachricht erhalten.

Zitat:

angelmira.com
eduardochichorabines.com
gebicon.com
gechavez.com
hausline.com
kokovet.com
mamtrujillo.com
museodeljuguete.info
pidela.com
solart.biz
solinvest.info
warmichura.com
yoasesinocampesinas.com

...plus 32 subdomains

Die frage ist nur, was muss ich jetzt machen? hab meinen pc jetzt x mal durchleuchtet und keinen entsprechenden Virus gefunden, des weiteren wie kann ich einen neuen NS installieren ohne jegliche Erkenntnisse?

gibt es da die Möglichkeit auf einen Fremdanbieter der so was macht?