Fehlerhafte Weiterleitung zur Vereinshomepage

MHaberer

treuer Stammgast
Hallo zusammen,

Ich bin einer der Webmaster unserer Vereinshomepage
Willkommen beim TV Riegel . Das Problem mit der Seite ist, dass
seit neuestem, wenn man bei Google danach sucht, falsch
weitergeleitet wird (nämlich zu einer russischen Webseite).

Ich habe schon einiges im Internet über ähnliche Probleme
gefunden, die wohl von einem Trojaner auf dem eigenen
Rechner kommen. Unser Problem scheint sich aber dahingehend
davon zu unterscheiden, dass nicht jeder Eintrag in Google
falsch weitergeleitet wird, sondern nur Einträge, die auf
unsere Seite führen (sollten). Heisst das vielleicht, dass
sich da was auf unserem Server eingenistet hat???

EDIT: Es scheint nicht nur bei Google so zu sein, wenn ich
auf den Link hier im Thread klicke werde ich auch falsch weiter-
geleitet. Nach wie vor ist es aber kein Problem die Seite zu
erreichen, wenn ich die Adresse manuell eingebe.


Gruß und Danke im Vorraus,
MHaberer

P.S. Hijack This spuckt folgendes aus:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 23:51:20, on 13.04.2012
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
D:\Programme\Office 2003\OFFICE11\OUTLOOK.EXE
D:\Programme\Office 2003\OFFICE11\WINWORD.EXE
C:\PROGRA~2\COMMON~1\LOGOX4~1.0\Logox4.exe
D:\Programme\FireFox\firefox.exe
D:\Programme\FireFox\plugin-container.exe
C:\Users\Micha\Desktop\Internet\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN Deutschland: Hotmail, Skype Download und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN Deutschland: Hotmail, Skype Download und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\PROGRA~2\COMMON~1\WEBSPE~1.0\LgxIEBar.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - c:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Oracle\JavaFX 2.0 Runtime\bin\jp2ssv.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - (no file)
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1505436895-3786924517-14641785-1009\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'UpdatusUser')
O4 - HKUS\S-1-5-21-1505436895-3786924517-14641785-1009\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'UpdatusUser')
O8 - Extra context menu item: &Download by Orbit - res://D:\Programme\Orbit Downloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://D:\Programme\Orbit Downloader\orbitmxt.dll/204
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Do&wnload selected by Orbit - res://D:\Programme\Orbit Downloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://D:\Programme\Orbit Downloader\orbitmxt.dll/202
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\Micha\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRA~2\COMMON~1\WEBSPE~1.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRA~2\COMMON~1\WEBSPE~1.0\LgxIEBar.dll
O9 - Extra button: ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - D:\Programme\ICQ\ICQ7.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - D:\Programme\ICQ\ICQ7.5\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\OFFICE~1\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O20 - AppInit_DLLs: C:\Windows\SysWOW64\guard32.dll
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: COMODO livePCsupport Service (CLPSLS) - COMODO - C:\Program Files\COMODO\COMODO GeekBuddy\CLPSLS.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - D:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Google Update-Dienst (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update-Dienst (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LogMeIn Hamachi Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - D:\Programme\Hamachi\hamachi-2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Program Files (x86)\WinPcap\rpcapd.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: TeamViewer 6 (TeamViewer6) - TeamViewer GmbH - D:\Programme\Teamview\TeamViewer_Service.exe
O23 - Service: @D:\Programme\TuneUp2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - D:\Programme\TuneUp2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - D:\Programme\TuneUp2010\TuneUpUtilitiesService64.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 10584 bytes
 
Zuletzt bearbeitet von einem Moderator:

Supernature

Und jetzt?
Teammitglied
Edit: Alles uninteressant, was ich unten geschrieben habe - es ist definitiv der Webserver kompromittiert.
Habe über Google nach Eurer Seite gesucht und wurde prompt auf eine andere Seite umgeleitet (nicht die, die Du gepostet hattest) und es wurde versucht, mir eine Datei unterzuschieben.

Schaut Euch mal genau das Änderungsdatum der PHP-Scripte an und prüft sie inhaltlich auf Code, der da nicht hin gehört.


Ich habe die russische URL mal besser entfernt - wer weiß, was da dahinter steckt.
Also das HijackThis-Log sieht soweit gut aus - die Einträge "file missing" und der Hinweis "Der angebliche Systemprozess läuft nicht im System32 Ordner und ist deshalb als schädlich einzustufen" kommen daher, dass Du ein 64Bit-System hast und die Auswertung dafür leider noch nicht angepasst ist.

Bei mir passiert diese Umleitung nicht, und es werden vermutlich noch weitere Meldungen von anderen Forumsteilnehmern kommen.
Ich gehe im Moment mal davon aus, dass es wirklich ein Problem auf Deinem Rechner ist.
Es könnte sich ein AddOn in Deinen Browser eingenistet haben - hast Du es mit unterschiedlichen Browsern versucht?
Da die Umleitung nicht immer passiert, wird es wohl eher keine DNS-Manipulation sein.
 

Supernature

Und jetzt?
Teammitglied
Ich hatte so ein Problem auch mal, das war glücklicherweise leicht zu erkennen - da war ein ziemlich großer Code-Block am Ende der Datei eingefügt worden. Im Ergebnis wurden etwa die Hälfte aller Google-Besucher umgeleitet. Ziemlich clever gemacht, so lange man sich selbst auf der Seite bewegt, merkt man nichts, und wundert sich nur über die gesunkenen Besucherzahlen.

Wenn Du die Google Webmastertools benutzt, kannst Du außerdem dort nachschauen, ob der Crawler Malware auf dem Server gefunden hat.
 

Supernature

Und jetzt?
Teammitglied
Kann ich Dir gar nicht mehr genau sagen - spielt aber eigentlich auch keine Rolle, weil das bestimmt nicht vergleichbar ist.
Bei uns handelte es sich damals um eine Sicherheitslücke in der Forensoftware bzw. vbseo - wenn ich mich recht entsinne, wurde eine vbseo-Datei modifiziert.
Du wirst alle durchschauen müssen - wenn die index.php wiederum andere php-Scripte per include ansteuert, dann kann sich der Exploit auch darin verstecken - es kann aber auch der Webserver selbst befallen sein, dann findest Du in den Scripten nichts.
 

MHaberer

treuer Stammgast
Okay es scheint nun so, dass die Seite endlich frei von Malware ist. Nach dem ich
meine Cookies gelöscht habe funktioniert die URL [ http://tvriegel.com ] wieder wie
sie soll, aber [ http://www.tvriegel.com ] wird bei mir komischerweise zur Google
Startseite umgeleitet, aber nur bei Mozilla Firefox, beim Internet Explorer funktioniert
diese URL auch. Die Einträge bei der Google Websuche landen generell immer bei
beiden Browsern wieder auf der Google Startseite.

Hat da jemand ne Idee?
 

MHaberer

treuer Stammgast
Hmm komisch, warum passiert mir das dann nicht?

Welchen Browser hast du denn verwendet?

Und was passiert, wenn du die beiden Links in meinem vorherigen Post verwendest?
 

HeikeFy

assimiliert
Ich verwende den Firefox 11.0.
Die von dir geposteten Links ohne www führen direkt zu deiner Seite. die mit www allerdings jetzt zu Google.de, ich glaube vorhin war das nicht so.
Edit: nach dem Löschen der Cookies ändert sich das Verhalten, ich werde wieder auf deine Seite geleitet.

Die Links die ich über die Googlesuche finde, führten vorhin noch auf die russische Seite, jetzt allerdings auch zu Google.de.
 

HeikeFy

assimiliert
Ich habe jetzt nochmal ein bisschen "gespielt". Diese komische Weiterleitung passiert nur, wenn ich von Google auf deine Seite komme. Dann aber bleibend. Es scheint so, als würde in diesem Fall ein Cookie gesetzt werden, der das steuert.
Erst wenn ich den Browser schließe oder wirklich alle Cookies und dann die Seite direkt aufrufe hört das auf.

Edit: Falsch, alle Cookies löschen hilft nicht, erst das Schließen des Browsers beendet den Spuk.
 

MHaberer

treuer Stammgast
Hallo und Danke für eure Rückmeldungen!

Ich schau mir mal die betreffenden Seiten an.

Zu der Frage, ob ich schon was gefunden habe:
Im Ordner "Images" war eine Datei 10.php, die
AntiVir mir gleich beim Runterziehen als Malware
angezeigt hat, ich habe diese gelöscht und ein
Backup der Seite von vor der Infektion hochgeladen,
was das Problem aber anscheinend nicht bzw. nicht
ganz gelöst hat.
 

Supernature

Und jetzt?
Teammitglied
...oder aber der Exploit ist sofort wieder zurück gekommen.
Wenn Du eine Sicherheitslücke in den Scripten haben solltest, dann ist die nach dem Hochladen des Backups ja immer noch vorhanden, d.h. der schädliche Code kann auf dem selben Weg wieder eingeschleust werden.

Habt Ihr die Seite bei einem Provider gehostet? Dann solltet Ihr auch den mal fragen, ob ihm irgendwelche Infektionen gemeldet worden sind.
 

MHaberer

treuer Stammgast
Hmm Ja die Seite ist bei 1Blu gehostet, die haben wir auch angeschrieben
aber denen wurde nichts gemeldet.

Die Dateien die von Sucuri SiteCheck gefunden wurden gibt es auf unserem
Server zum Teil garnicht (oder ich finde sie einfach nicht). Das betrifft in der
Hauptsache tvriegel.com/404testpage4525d2fdc und tvriegel.com/404javascript.js

Edit: Ich bin bei Sucuri darauf aufmerksam geworden, dass die auch (gegen Bezahlung)
eine Reinigung der Website anbieten. Gibt es auch ähnliche Services auf Deutsch (Ich
hab bei der Googlesuche nichts passendes gefunden)?
 
Zuletzt bearbeitet:

Supernature

Und jetzt?
Teammitglied
Die Dateien werden doch wohl nicht temporär erzeugt werden...
Äußerst knifflige und ärgerliche Sache das. Ich denke, man kann davon ausgehen, dass die Sicherheitseinstellungen bei 1Blu in Ordnung sind, shared Server werden ja normalerweise recht restriktiv eingestellt.
Wo aber bei Deinen Scripten jetzt genau der Wurm drin ist - das muss man wohl durch Auseinander nehmen des Quellcodes herausfinden.
 
Oben