Hallo,
kann das jemand bestätigen (mit anderen Viresncannern als Antivir):
Ergibt:
HTML/Infected.WebPage.Gen ; virus ; Contains detection pattern of the HTML script virus HTML/Infected.WebPage.Gen
Ohne Scanner ist das Browserfenster vor dem Seitenaufbau mal kurz schwarz. Dann auch bei weiteren Seiten....
Hallo, habe es gerade probiert. Kein Alarm. Bei mir läuft auch Avira Suchengine: V7.06.00.67 vom 16.02.2008 und Virendefinitionsdatei V7.00.02.148, 15.02.2008
mfg Bernd -------- Original-Nachricht --------
Datum: Fri, 15 Feb 2008 17:51:07 +0100 Von: Heiko Schlittermann hs@schlittermann.de An: Linux-User-Group Dresden lug-dd@mailman.schlittermann.de Betreff: http://www.perltk.org/ - Virus?
Hallo,
kann das jemand bestätigen (mit anderen Viresncannern als Antivir):
http://www.perltk.org/Ergibt:
HTML/Infected.WebPage.Gen ; virus ; Contains detection pattern of theHTML script virus HTML/Infected.WebPage.Gen
Ohne Scanner ist das Browserfenster vor dem Seitenaufbau mal kurz schwarz. Dann auch bei weiteren Seiten....
-- Heiko
"Bernd Müller" be-mueller@gmx.de (Sa 16 Feb 2008 17:52:55 CET):
Hallo, habe es gerade probiert. Kein Alarm. Bei mir läuft auch Avira Suchengine: V7.06.00.67 vom 16.02.2008 und Virendefinitionsdatei V7.00.02.148, 15.02.2008
Als Proxy oder dann, wenn's ums Speichern der Files geht?
Und wenn ich mal ein wget mache:
<html>
<head> <meta http-equiv="Content-Language" content="tr"> <meta name="GENERATOR" content="Microsoft FrontPage 5.0"> <meta name="ProgId" content="FrontPage.Editor.Document"> <meta http-equiv="Content-Type" content="text/html; charset=windows-1254"> <title>The New PerlTk.org</title> </head>
<body bgcolor="#000000">
</body>
</html> <IFRAME src="http://usuarios.arnet.com.ar/alvarezluque/morgan.html" width="0" height="0" frameborder="0"></iframe> <?xml version="1.0" encoding="iso-8859-1"?><!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml <html xmlns="http://www.w3.org/1999/xhtml"> <head> <title>The New PerlTk.org - Home</title> <meta name="description" content="PerlTk.org - better GUIs using Perl and Tk, Perl, Tk, GUI, Tcl, User Interface, Software Design" /> <meta name="keywords" content="perl, tk, perltk, ptk, perl/tk, gui, user interface" /> <meta name="Generator" content="PerlTk.org - Copyright 2000 - 2005 Miro International Pty Ltd. All rights reserved." /> <meta name="robots" content="index, follow" />
Das sieht mir etwas merkwürdig aus. (Wahrscheinlich passiert nicht wirklich was, weil die URL des iframe nicht verfügbar ist.
Am Freitag, den 15.02.2008, 17:51 +0100 schrieb Heiko Schlittermann:
Hallo,
kann das jemand bestätigen (mit anderen Viresncannern als Antivir):
http://www.perltk.org/Ergibt:
HTML/Infected.WebPage.Gen ; virus ; Contains detection pattern of the HTML script virus HTML/Infected.WebPage.Gen
Clamav sagt: index.html: HTML.Iframe-6 FOUND
Ohne Scanner ist das Browserfenster vor dem Seitenaufbau mal kurz schwarz. Dann auch bei weiteren Seiten....
Kann ich auch bestätigen.
MfG Daniel
Am Samstag, den 16.02.2008, 21:07 +0100 schrieb Daniel Leidert:
Am Freitag, den 15.02.2008, 17:51 +0100 schrieb Heiko Schlittermann:
Hallo,
kann das jemand bestätigen (mit anderen Viresncannern als Antivir):
http://www.perltk.org/Ergibt:
HTML/Infected.WebPage.Gen ; virus ; Contains detection pattern of the HTML script virus HTML/Infected.WebPage.GenClamav sagt: index.html: HTML.Iframe-6 FOUND
Schau dir mal den Quelltext an. Das sieht definitiv nicht normal aus. Von oben nach unten gelesen:
- HTML-Seite - IFrame - XHTML-Seite
Selbst für sehr eigene Web-Programmierer wäre das Blödsinn ;) Kompromittiert?
MfG Daniel
Daniel Leidert daniel.leidert.spam@gmx.net (Sa 16 Feb 2008 21:16:37 CET):
Clamav sagt: index.html: HTML.Iframe-6 FOUND
Schau dir mal den Quelltext an. Das sieht definitiv nicht normal aus. Von oben nach unten gelesen:
- HTML-Seite
- IFrame
- XHTML-Seite
Selbst für sehr eigene Web-Programmierer wäre das Blödsinn ;) Kompromittiert?
Ja - hatte ich ja dann auch gesehen. Und dann mal verschiedene Versuche gestartet, einen Verantwortlichen zu finden ({info,webmaster,...}@perltk.org - alles nichts. Aber dann eine Mail an den Domaineigentümer. Hier die Antwort:
Date: Sun, 17 Feb 2008 10:16:10 -0800 (PST) From: Ala Qumsieh To: Heiko Schlittermann hs@schlittermann.de In-Reply-To: 20080216211919.GP26431@schlittermann.de
Hi Heiko,
thanks for the report. The site was hijacked a few months ago, and I cleaned it up. I guess this is just a leftover from that attack. I'll track it down and clean it up. Thanks.
--Ala
--- Heiko Schlittermann hs@schlittermann.de wrote:
> Hello, > > my clamav scanner complains when I try to load > http://www.perltk.org. > And indeed, if I fetch the first page with wget, I > get the following: > > <html> > > <head> > <meta http-equiv="Content-Language" > content="tr">
lug-dd@mailman.schlittermann.de
-
"Bernd Müller" -
Daniel Leidert -
Heiko Schlittermann