#1 1. Mai 2013 Hi, könnt ihr das reproduzieren? Google.de --> Suchbegriff "JavaScript Forum" .. ohne "" --> 1. Link zu forum.jswelt.de --> Beim ersten Aufruf erfolgt eine Weiterleitung auf eine ehemals? infizierte Seite... --> myfilestore.com/download.php?id=ddbb4c38 Sobald ich die Cookies lösche kann ich es wieder reproduzieren. Könnt ihr das bestätigen? Welche Art von Hack ist das? + Multi-Zitat Zitieren
#2 1. Mai 2013 AW: Diese Seite infiziert? Das scheint eine Infektion auf dem Server selbst zu sein (Nicht im Quelltext auffindbar) Beim Aufruf werden Cookies und Referer geprüft und wenn man von google kommt wird man umgeleitet. + Multi-Zitat Zitieren
#3 1. Mai 2013 AW: Diese Seite infiziert? Dürfte eine vBSeo Lücke sein, gab es öfter schon (schau mal im vBseo Forum oder vbulletin Forum) Wie Nanobyte sagte: Man sollte sich im Adminpanel die Hooks anschauen, da dürfte ein base64 codierter Code versteckt worden sein, welcher die Prüfung übernimmt und dann Google-Besucher beim ersten Besuch weiterleitet + Multi-Zitat Zitieren
#4 1. Mai 2013 AW: Diese Seite infiziert? Konntest du es reproduzieren? Tolles JavaScript Forum mit infizierter Seite... . Sehr professionel -.- Ich werde diese Plattform meiden, wenn sie es nichtmal schaffen über mehrere Tage hinweg die Lücke zu stopfen und den Code zu entfernen. + Multi-Zitat Zitieren
#5 2. Mai 2013 AW: Diese Seite infiziert? Hab es damals reproduziert ja, das war zu dem Zeitpunkt eine alte vBulletin aber aktuelle vBSeo Version genutzt haben. Sind natürlich erstmal davon ausgegangen, dass vBulletin selbst die Lücke ist - später bin ich dann hierauf gestoßen: MyDomain In dem Thread findest du eigentlich alles wichtige zu dieser Lücke - bescheiden ist nun leider, dass du als Admin kaum selbst auf die Weiterleitung aufmerksam wirst - eben da du ja Cookies auf deinem Rechner gesetzt hast. Ist auf jeden Fall ne ziemlich nette Idee, wenn das aber einmal mit deiner Seite gemacht wurde überprüfst du das öfter mal + Multi-Zitat Zitieren