Welcome Guest ( Log In | Register )

advertisement
advertisement
 
Reply to this topicStart new topic
> Google findet Malware bei mir
Hatishbi
post Aug 4 2008, 09:14 AM
Post #1


Rang: Angestellter
****

Group: Members
Posts: 71
Joined: 21-November 05
From: Göttingen
Member No.: 351



Hallo zusammen,

hab' heute morgen eine automatisierte Mail vom Google Search Quality Support bekommen, in der mir Malware-Funde auf einem verwaisten Blog mitgeteilt wurden.Hab' das erst für einen schlechten Scherz gehalten, aber beim Aufruf der URL schlägt auch mein Firefox 3 Alarm.

Bin nach einigen Stunden Analyse immer noch völlig ratlos. Sämtliche Dateien sind seit Monaten unverändert, auch ein FTP-Scan des (eiligst benachrichtigten) Hosters blieb ohne Ergebnis. Dessen Support vermutet das Problem bei einem eingebundenen Dienst oder outgoing Links. Allerdings habe ich nur auf absolute Authorities (Google, Wikipedia, Amazon) verwiesen und rennomierte Videohoster syndiziert. Blog-Comments können es auch nicht das Problem sein.

Es wäre toll, wenn mir hier jemand weiterhelfen könnte. Der Blog ist mir egal, die Domain sollte aber eher nicht auf schwarzen Listen landen (schon weil's meine primäre Maildomain ist). Angehängt die Google-Mail. Danke,

Ciao
Johannes

---
Dear site owner or webmaster of haupt.it,

We recently discovered that some of your pages can cause users to be
infected with malicious software. We have begun showing a warning page
to users who visit these pages by clicking a search result on Google.com.
Below are some example URLs on your site which can cause users to be
infected (space inserted to prevent accidental clicking in case your
mail client auto-links URLs):

http://haupt .it/venezuela/
http://www.haupt .it/venezuela/

Here is a link to a sample warning page:
http://www.google.com/interstitial?url=htt...t.it/venezuela/

We strongly encourage you to investigate this immediately to protect
your visitors. Although some sites intentionally distribute malicious
software, in many cases the webmaster is unaware because:

1) the site was compromised
2) the site doesn't monitor for malicious user-contributed content
3) the site displays content from an ad network that has a malicious
advertiser

If your site was compromised, it's important to not only remove the
malicious (and usually hidden) content from your pages, but to also
identify and fix the vulnerability. We suggest contacting your hosting
provider if you are unsure of how to proceed. StopBadware also has a
resource page for securing compromised sites:
http://www.stopbadware.org/home/security

Once you've secured your site, you can request that the warning be
removed by visiting
http://www.google.com/support/webmasters/b...py?answer=45432
and requesting a review. If your site is no longer harmful to users,
we will remove the warning.

Sincerely,
Google Search Quality Team
Go to the top of the page
 
+Quote Post
cybersite
post Aug 4 2008, 10:10 AM
Post #2


Rang: Manager
*******

Group: Members
Posts: 352
Joined: 27-July 03
Member No.: 62



Hallo Johannes,

erstmal eine Bestätigung von hier: unser Content-Security-System meldet auch "malicious content". Ich schaue mir das später mal genauer an.

[Update]
Also, Schadcode hab ich nicht gefunden, dafür jede Menge Spam-Links. Du benutzt offenbar ne alte WordPress-Version (?)
CODE
<a href = 'http://www.bkmh.de/moodle/user/view.php?id=267'>cozaar</a><br />
<a href = 'http://gym-nippes.dnsalias.org/moodle/user/view.php?id=365'>diflucan</a><br />
<a href = 'http://www.cumcane.de/moodle/user/view.php?id=1295'>hgh spray</a><br />
<a href = 'http://fsu.langlers.com/user/view.php?id=906'>side effects of prozac</a><br />
<a href = 'http://moodle.nb-braun.de/user/view.php?id=397'>discount cialis</a><br />
<a href = 'http://www.assbiologie.de/moodle/user/view.php?id=416'>casino wagering</a><br />
<a href = 'http://www.moodle.gymnasium-westerstede.de/user/view.php?id=441'>lopressor</a><br />
<a href = 'http://www.gumoso.de/moodle/user/view.php?id=17'>hgh steroids</a><br />


usw.
Ich würde ne neue Wordpress-Version drüberziehen und die Artikel bereinigen.


--------------------
Go to the top of the page
 
+Quote Post
sebastian
post Aug 4 2008, 10:21 AM
Post #3


Rang: Aufsichtsrat
*********

Group: Admin
Posts: 7,463
Joined: 5-February 03
From: Wernigerode
Member No.: 1



Hast Du Dir wirklich den Quelltext angeschaut?

Da ist ein riesiger Block .. Viagra Cialis whatever Links drin... voll die Seuche.


--------------------
pageKick - Trag Deine Website ein!
myBasti - mein persönliches Blog
Go to the top of the page
 
+Quote Post
Hatishbi
post Aug 4 2008, 10:57 AM
Post #4


Rang: Angestellter
****

Group: Members
Posts: 71
Joined: 21-November 05
From: Göttingen
Member No.: 351



Krass. Danke euch. Über diesen Code im Header ist der ganze Kram offensichtlich reingekommen. Anscheinend ist das Problem auch in aktuellen WP-Versionen noch nicht gefixed. Hab' das Theme nun erst einmal schreibgeschützt, vielleicht blocke ich auch das ganze Verzeichnis via .htaccess...

Ciao
Johannes
Go to the top of the page
 
+Quote Post
cybersite
post Aug 4 2008, 02:50 PM
Post #5


Rang: Manager
*******

Group: Members
Posts: 352
Joined: 27-July 03
Member No.: 62



QUOTE (Hatishbi @ 4.08.08 11:57)
vielleicht blocke ich auch das ganze Verzeichnis via .htaccess...

Auf wp-admin und wp-content habe ich immer einen htaccess-Schutz drauf.
Sicher ist sicher smile.gif


--------------------
Go to the top of the page
 
+Quote Post
cybersite
post Aug 6 2008, 06:04 AM
Post #6


Rang: Manager
*******

Group: Members
Posts: 352
Joined: 27-July 03
Member No.: 62



QUOTE (cybersite @ 4.08.08 15:50)
wp-content

Ich muss mich selbst korrigieren: Je nach Template kann ich htaccess-Schutz auf wp-content das Layout komplett zerschießen oder zu einzelnen Passwort-Abfragen führen. Bitte vorher testen, obs fürs eigene Template funzt!


--------------------
Go to the top of the page
 
+Quote Post
Hatishbi
post Aug 7 2008, 09:01 AM
Post #7


Rang: Angestellter
****

Group: Members
Posts: 71
Joined: 21-November 05
From: Göttingen
Member No.: 351



Das Ende der Geschichte: Hab' wie gesagt den Quelltext aufgeräumt, kritische Files geschützt & anschließend Google via Webmaster Tools Bescheid gesagt, dass die Seite nun clean ist. Und siehe da: Innerhalb von vier Tagen haben die Jungs den Blog gechecked und für sicher befunden - no more warnings *hooray* Guter Job!

Ciao
Johannes
Go to the top of the page
 
+Quote Post
Ringo
post Aug 7 2008, 12:05 PM
Post #8


Rang: Projektleiter
*****

Group: Members
Posts: 118
Joined: 16-November 05
Member No.: 333



QUOTE (Hatishbi @ 7.08.08 10:01)
...anschließend Google via Webmaster Tools Bescheid gesagt...

Das funktioniert wirklich gut. Hatte gerade mit ähnlichen Problemen zu kämpfen und die Malware-Hinweise waren innerhalb von 48h wieder verschwunden.


--------------------
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 User(s) are reading this topic (1 Guests and 0 Anonymous Users)
0 Members:

 

Lo-Fi Version Time is now: 22nd September 2014 - 08:15 PM