ntsearch.com

[Blue55]

Hallo alle zusammen!

Ich frage mich ja schon längere Zeit, wieso ich auf vielen Internetseiten und auch seit ner Weile auf meiner eigenen Homepage diese Links zu ntsearch.com sehe. Ich hab hier auch schon mal danach gefragt, damals meinten einige, ich hätte wohl einen Virus oder sowas eingefangen. Aber jetzt hab ich entdeckt, daß diese Links im Quelltext von meiner Homepage drin stehen und zwar im "Rechtsklickschutz" (der dadurch nicht mehr funktioniert) versteckt:

<!-- Begin

function right(e) {

if (navigator.appName == 'Netscape' &&

(e.which == 3 || e.which == 2))

return false;

else if (navigator.appName == 'Microsoft <a href="http://www.ntsearch.com/search.php?q=Internet&v=56">Internet</a> Explorer' &&

(event.button == 2 || event.button == 3)) {

alert("Selber programmieren macht Spaß!");

return false;

}

return true;

}

document.onmousedown=right;

if (document.layers) window.captureEvents(Event.MOUSEDOWN);

window.onmousedown=right;

// End -->

Das was ich rot markiert hab, hat in dem Quelltext nichts zu suchen. Wie kann das da rein kommen? Das steht bei fast jeder Seite im Quelltext drin. Diese Seiten hab ich vor etwa drei Jahren hochgeladen und seit dem nur noch online bearbeitet, daher denke ich, daß es nicht von meinem Rechner kommen kann.

Habt ihr ne Idee, wie das kommt?

[Crash2001]

Hmmm... liegt deine Seite evtl. bei einem Freespace-Anbieter?

Dann könnte es sein, dass die Seite beim Aufruf immer durch ein Script geschickt wird in dem bestimmte Sachen hinzugefügt werden (z.B. ein Link beim Wort "Internet" zu der URL da). Lies dir mal die geschäftsbedingungen des Anbieters genau durch, ob da vielleicht etwas davon steht.

Ich kenne so etwas von kostenlosen Webspaceanbietern, dass da z.B. ein Werbebanner von ihnen auf jeder Seite mit eingeblendet wird oder z.B. Werbung... (oder auch bei Webspace der einem Webring angehören und dadurch günstiger angeboten wird)

Schreib mal einfach das Wort "Internet" auf deine Homepage und schau, ob daraus dann automatisch ein Link generiert wird beim Seitenaufruf.

[Wolle]

Dann könnte es sein, dass die Seite beim Aufruf immer durch ein Script geschickt wird in dem bestimmte Sachen hinzugefügt werden (z.B. ein Link beim Wort "Internet" zu der URL da). Lies dir mal die geschäftsbedingungen des Anbieters genau durch, ob da vielleicht etwas davon steht.

Das glaube ich weniger. ntsearch.com ist eine Variante des coolwebsearch Schädlings. Normalerweise fängt man sich das auf bestimmten Webseiten über den IE ein. Das allerdings Seiten auf einem Webserver davon befallen werden, höre ich zum ersten Mal und hab auch nicht wirklich eine Erklärung dafür.

[Crash2001]

hmmm... aber der müsste dann ja eigentlich schon sowas wie von mir oben beschrieben machen, weil das ja sonst nicht auf der Homepage zu sehen wäre...

[FMG]

Ich hatte sowas auch mal, allerdings mit einem Erotikpopup... Da ist wohl der Server deines Anbieters gehackt worden...

[Blue55]

Hmmm... liegt deine Seite evtl. bei einem Freespace-Anbieter?

Dann könnte es sein, dass die Seite beim Aufruf immer durch ein Script geschickt wird in dem bestimmte Sachen hinzugefügt werden (z.B. ein Link beim Wort "Internet" zu der URL da). Lies dir mal die geschäftsbedingungen des Anbieters genau durch, ob da vielleicht etwas davon steht.

Ich kenne so etwas von kostenlosen Webspaceanbietern, dass da z.B. ein Werbebanner von ihnen auf jeder Seite mit eingeblendet wird oder z.B. Werbung... (oder auch bei Webspace der einem Webring angehören und dadurch günstiger angeboten wird)

Das ist Geocities, die machen eigentlich nur diese nervigen Fenster an der Seite.

Den Code, den solche Seiten dranhängen, sieht man im Quelltext nur, wenn man auf der jeweiligen Seite mit rechts klickt und dann in den Quelltext geht. Aber wenn ich die Seite bearbeiten will, bekomm ich solche Sachen nicht mit angezeigt. Das kann es nicht sein. Außerdem ist es ja auch nicht auf allen Seiten.

[Crash2001]

Achso, das ist im Quelltext schon mit drin wenn du dir das runterlädst und anschaust, nicht nur wenn du dir die Seite online anschaust und dann auf Quelltext klickst.

Joa also dann gehe ich auch mal davon aus, dass der Webspace gehackt wurde...

[Blue55]

Na ja, bei Geocities muß man das nicht runterladen, das lässt sich online editieren.

Es gibt nicht zufällig ne Möglichkeit, diese Zeile genauso einfach und schnell wieder rauszukriegen? Sind ja nur 352 html-Dateien die ich überprüfen und bearbeiten muß...

[FMG]

Das geht z. B. innerhalb von Sekunden über die dateiweite Suchen-und-Ersetzen-Funktion von Phase 5.3 (zu erreichen über F11).

[Blue55]

Dafür müsste ich aber vermutlich erst mal sämtliche Seiten runterladen, oder?

Bei Geocities kann ich Dateien hochladen, aber nicht runter, die müsste ich alle einzeln abspeichern.

[Crash2001]

Dafür müsste ich aber vermutlich erst mal sämtliche Seiten runterladen, oder?

Bei Geocities kann ich Dateien hochladen, aber nicht runter, die müsste ich alle einzeln abspeichern.

Also damals konnte ich da einfach per ftp Dateien hoch- und auch wieder runterladen... Gibts etwa mittlerweile gar keinen ftp-Zugang mehr, sondern nur noch über so eine komische Seite?

[ssambdar]

Nur mal so eine Frage am Rand: Hast du das Problem nur auf deinem Computer, oder liegt das wirklich an der Website. Ich kenne Browser-Hacks, die solche Javascript-Zeilen on-the-fly einbauen. Also du rufst die Seite auf, und bevor die Seite an den IE übergeben wird, schleift der Hack die JavaScript-Zeilen ein.

Also einfach mal mit einem anderen Browser, oder am besten mal mit einem anderen Computer die Seite aufrufen. Wenn das Problem immernoch besteht, wurde wohl der Webspace gehackt. Ansonsten solltest du deinen eigenen Rechner mal nach Spyware scannen.