Wer in der Zeit vom 6.3.2013, ca. 14:45 Uhr bis in die Morgenstunden des 7.3.2013 eine URL mit der Domain „goneo.de“ aufrief, wunderte sich vielleicht über ein eingeblendetes Warnfester mit dem Hinweis, dass ein Besucher „dieser Site“ möglicherweise gefährlich für den PC oder das Notebook wäre. Dies ist natürlich Unsinn. Sie können die Malware-Warnung ignorieren, wenn sie sich auf webmail.goneo.de, kundencenter.goneo.de oder www.goneo.de bzw. order.goneo.de bezieht.
Was ist passiert?
In den vergangenen Wochen haben wir auf Kundenwebseiten, die fatalerweise auch unter einer .goneo.de Domain erreichbar sind (Muster http://12345.webtest.goneo.de), mit massiven Hackingattacken zu tun gehabt. Die Hacker haben veraltete und unsichere Komponenten wie den JCE – Editor in einer alten Version, wie er gerne zusammen mit Joomla verwendet wird, angegriffen. Dadurch gelang es Hackern eine Datei auf den Webspace des Kunden zu schleusen, die dafür gesorgt hat, dass eine PHP-Shell geöffnet werden kann. Damit sind PHP-Befehle auf Account-Ebene ausführbar und der Kundenaccount kann für weitere Aktionen eingesetzt werden.
In vielen Fällen handelt es sich wohl um die Bereitstellung von schädlicher Software, die auf anderen Systemen schon Schaden verursacht hat.
Auf unseren eigenen Webseiten liegen keine schädlichen Dateien. Das haben intensive Scans ergeben. Zudem steht die Domain goneo.de auch auf keiner sonst bekannten „roten Liste“, soweit wir wissen.
Vielleicht kann man vor diesem Hintergrund unsere Reaktion auf ungesicherte Joomla-betriebene Websites in diesem Licht etwas besser nachvollziehen. Wir haben uns dabei heftigen Kritiken ausgesetzt gesehen und viele beurteilten die geplante Aktion als überzogen.
Wir hoffen, dass Google die Malware-Flag wieder entfernt. Leider lässt man sich dafür bis zu einen ganzen Tag Zeit.
Im Regelfall sollten alle Websites unter goneo.de zugänglich sein, wenn man das Warnfenster ignoriert. Einige lokal installierte Anti-Malware-Programme werden unter Umständen mit Informationen aus dem Google Safebrowsing – Programm gespeist. Dafür müsste man dann eine Ausnahme eintragen.
aktuell immer noch..
@Alexander Becker: Nun ist die Malware Markierung entfernt worden
Zur Zeit sind noch Seiten und Domains betroffen, die Elemente der Domain „goneo.de“ auf ihren Seiten verwendet haben.
Hoffentlich werden diese so Indexierten Seiten auch demnächst wieder Freigegeben.
@ #Frank: Es sollten keine Bezüge zu URLs wie 123456.webtest.goneo.de verwendet werden.
Aufgrund der Malware-gefahren und der „Vererbung“ auf die Domain goneo.de werden wir webtest.goneo.de als 3rd Level Domain demnächst ersetzen.
Ich schein auch einer der jenigen zu sein, die es betroffen hat. Ich bekomme auch seid ca. 3 Monaten eine solch Warnung ( bei meiner Page ) und bin bald am verzweifeln.
Info für goneo
Ihre:
http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=goneo.de
http://sitecheck.sucuri.net/results/goneo.de
@ Anika Jessing: Ich habe die Site gerade mit Google Chrome aufgerufen. Da kommt keine Malwarewarnung. Vielleicht mal mit URLvoid.com o.ä. überprüfen.
Die Webseite ist nicht mehr erreichbar.
Alle meine anderen Webseiten sind erreichbar und sehen im Frontend gut aus, jedoch komme ich nicht mehr auf das Backend. All meine Seiten sind mit Joomla erstellt) Nach dem Login bekomme ich einen HTTP 500 Fehler. Ich habe grade mal eine neue cickstart Joomla 2.5.9 Version zur Probe installiert, habe dort auch das gleiche Problem.
hmm : also das kann auch nich wirklich sein meik: meine is joomla 2.5.9 und is wunderbar ohne error aufrufbar. Schau mal bei dir die Verbindungen zum Mysql nach weil wenn meine erreichbar ist , müsste Deine 100 % erreichbar sein 500er hat mit Mysql oder msli irgendeinen Fehler bei Dir dann.
Nebst clickstart versuche mal : ein joomla 2.5.9 zu downloaden und installiere mal ohne clickstart das gedownloadete joomla.