Hallo Thomas,
am 31.3. kam folgende mail von google:
We recently discovered that some of your pages can cause users to be infected with malicious software. We have begun showing a warning page to users who visit these pages by clicking a search result on Google.com.
Below are some example URLs on your site which can cause users to be infected (space inserted to prevent accidental clicking in case your mail client auto-links URLs):
http://radiodesign .de/grundig/
http://www.radiodesign .de/grundig/index.htm
Here is a link to a sample warning page:
http://www.google.com/interstitial?url=http://radiodesign.de/grundig/
We strongly encourage you to investigate this immediately to protect your visitors. Although some sites intentionally distribute malicious software, in many cases the webmaster is unaware because:
1) the site was compromised
2) the site doesn't monitor for malicious user-contributed content
3) the site displays content from an ad network that has a malicious advertiser
If your site was compromised, it's important to not only remove the malicious (and usually hidden) content from your pages, but to also identify and fix the vulnerability. We suggest contacting your hosting provider if you are unsure of how to proceed. StopBadware also has a resource page for securing compromised sites:
http://www.stopbadware.org/home/security
Once you've secured your site, you can request that the warning be removed by visiting
http://www.google.com/support/webmasters/bin/answer.py?answer=45432
and requesting a review. If your site is no longer harmful to users, we will remove the warning.
Ich hab dann versucht ein paar Dinge zu bessern.
Dann am 12.4. kam die erste von Strato.
ABUSE:
unter der Adresse radiodesign.de unterhalten Sie bei der STRATO AG ein Internet-Komplettpaket. Hierzu haben Sie unter ausdrücklicher Anerkennung unserer Allgemeinen Geschäftsbedingungen ein Internet-Komplettpaket bestellt.
Die Allgemeinen Geschäftsbedingungen sind - wie Ihnen bekannt ist - im Internet unter www.strato.de jederzeit einsehbar und ausdruckbar.
Wir wurden darüber in Kenntnis gesetzt, dass Ihr Content für die Verbreitung schädlicher Software ausgenutzt wird. Die URL bzw. Datei(en) lautet wie folgt:
81.169.145.81 - http://radiodesign.de/grundig/
81.169.145.81 - http://www.radiodesign.de/grundig/index.htm
Allem Anschein nach wurde Ihr Content gehackt. Der Angriff auf Ihren Content erfolgte anscheinend durch vorhandene Sicherheitslücken in Ihren installierten PHP/GGI-Scripten. Es besteht jedoch auch die Möglichkeit, dass eine lokale Einschränkung an Ihrem System besteht. Eine weitere Möglichkeit sind unsichere Kennwörter.
Um weiteren Missbrauch zu vermeiden und die Sicherheit unserer Server nicht weiter zu gefährden haben wir heute die Sperrung Ihrer Domain vorgenommen.
Wir fordern Sie hiermit auf, Ihren gesamten Content sowie die installierten Dateien auf Sicherheitslücken- bzw. mängel zu überprüfen und entsprechend zu korrigieren. Auch entfernen Sie bitte die o. g. Datei(en) von Ihrem Content und zusätzlich alle weiteren Dateien, welche nicht durch Sie installiert wurden.
Suchen Sie bitte auch ganz gezielt nach "versteckten" Dateien, ".htaccess" etc. und nach versteckten Ordnern.
Wir haben uns hierfür eine Frist bis zum 26.04.2010 notiert.
Weiterhin bitten wir Sie, uns bis zum o. g. Termin eine Information zukommen zulassen, welche Maßnahmen Ihrerseits eingeleitet wurden. Sobald uns diese vorliegt, werden wir die Entsperrung Ihrer Präsenz(en) vornehmen.
Weiterhin empfehlen wir Ihnen die Nutzung des STRATO SiteGuard. Ab den PowerWeb Paketen, sowie bei den Paketen Basic Web XL, Blog Web, Power Plus, Multi Web und DynamiX steht Ihnen ein umfangreicher Schutz vor unzulässigen Schreibzugriffen auf Ihre Internetseiten zur Verfügung. Eine Einrichtung nehmen Sie bitte in Ihrem Kundenservicebereich http://www.strato.de/apps/CustomerService unter den Menüpunkten 'Einstellungen' und 'SiteGuard' vor. Eine detaillierte Anleitung finden Sie zusätzlich in unseren STRATO-FAQ unter http://www.strato-faq.de [Artikelnummer: 568].
Ändern Sie bitte zusätzlich in regelmäßigen Abständen Ihre Passwörter. Wir empfehlen Ihnen, Passwörter zu verwenden, deren Wortlaut im normalen deutschen oder englischen Lexikon nicht vorkommen. Gut sind Kombinationen von mehr als 5 Zahlen und Buchstaben in verschiedener Groß- und Kleinschreibung, wie z.B. 4xUbL4356kIt. Diese können schwer "erraten" werden. Wird ein unbefugter Zugriff von Ihnen bemerkt, ändern Sie bitte als erstes die Passwörter.
Die Zugangsdaten für Ihren FTP-Zugang können Sie in Ihrem Kundenservicebereich http://www.strato.de/apps/CustomerService unter den Menüpunkten 'Einstellungen' und 'Passwörter ändern' und anschließend 'Masterpasswort' ändern.
Ich löschte die "Grundig" und habe wieder versucht etwas zu verbessern.
Dann am 13.4. kam Strato noch mal:
(das hier ist von mir): Danke für die Nachricht.-
Ich habe Ihre Sicherheitsvorschläge durchgeführt,
mehrere PHP Scripte gelöscht, eine htpassword gelöscht
alle Strato Paswörter geändert und Siteguard und logging aktiviert.
Ich hoffe, dass Sie nun meine Seiten wieder freischalten können.
Vielen Dank und viele Grüße
Mit freundlichen Gruessen
Klaus Koetterheinrich
Und strato:
Sehr geehrter Herr Koetterheinrich,
vielen Dank für Ihre Nachricht welche wir entsprechend zur Kenntnis genommen haben.
Wir teilen Ihnen mit, dass wir Ihre Domain(s) wieder entsperrt haben. Der Vorgang ist für die Abuseabteilung der STRATO AG damit abgeschlossen.
Mit freundlichen Grüßen
STRATO AG | Customer Care
Ich vermute sie haben die Ausführung sämlicher cgi's gesprerrt, denn die das Strato-eigene Anzeigen-script geht auch nicht mehr
Ich glaube fast ich muss dicht machen. Was ist Deine Meinung?
Viele Grüße - Klaus
|