Hallo,

ich hatte heute Morgen ne «malware notification» von Google in meinem Postfach. Alle Seiten meiner Domain werden nun geblockt und ich hab keine Ahnung wieso.

Deine Seiten könnten für Cross-Site-Scripting anfällig sein. Das ist eine von mehreren Möglichkeiten.

Sogar meine Hompepage erscheint in FF geblockt, obwohl da grad mal ein Logo und zwei HTML-Zeilen Text sind und keine weiterführenden Links.

ja, passiert auch bei den TinyURLs. Ist auch gut so. Schließlich will ich keine Schadsoftware unfreiwillig auf meinen Rechner bekommen.

Gibts irgendwelche Werkzeuge, mit denen man diesen Schadcode online aufstöbern kann?

Ja, Dein Firefox sagt es Dir doch, wenn Du auf die Schaltfläche "Warum wurde diese Seite blockiert" klickst:

<zitat>
    Nächste Schritte:

* Zur vorherigen Seite zurückkehren.
        * Falls Sie Eigner dieser Website sind, können Sie eine Überprüfung
          Ihrer Website mit den Google Webmaster-Tools anfordern. Weitere
          Informationen über den Prüfprozess erhalten Sie in der Hilfe für
          Webmaster.
</zitat>

mit entsprechenden Links. Du solltest den Hinweisen im zweiten Abschnitt folgen :-)

Immerhin sind laut Google 30 von 36 Seiten infiziert.

Freundliche Grüße

Vinzenz

Hi,

http://tinylink.com/?VHKupRTVlt$

scheint fehlerhaft zu sein - da hast du wohl einen Dollar zuviel investiert.
http://tinylink.com/?VHKupRTVlt ohne abschließendes Dollarzeichen führt auf eine existierende Seite.

http://tinylink.com/?cgluGinV81

Ich habe mir den Quellcode der Seite im Browser angeschaut ...

Welchen? Den von tinyurl.com (eigentlich ja http://www.digipills.com/tinylink/) oder den von deiner Seite, auf die man von dort weitergeleitet wird? Denn der Browser (bzw. die Suchmaschine) sieht ja zuerst den Inhalt von http://www.digipills.com/tinylink/?VHKupRTVlt, und erst drei Sekunden später wird man auf die Zielseite weitergeleitet, wenn man einem meta-Redirect folgen möchte.

Tja, und digipills.com bindet ja nun zunächst mal ein Javascript von fastclick.net ein, mit Sicherheit Werbung. Oder, wenn man kein Javascript will, dann eben einen großen statischen Werbebanner (der bei mir zum Glück auch ordnungsgemäß geblockt wird).
Was dieser eingebundene Javascript-Code so alles anstellen mag ... keine Ahnung.
Ich vermute jedenfalls, dass die Malware-Warnung auf fastclick.net anspricht.

Merkwürdig finde ich allerdings, dass ich auf deiner eigene Seite, auf die man schließlich weitergeleitet wird, mit Opera oder Firefox eine gefällige Internetseite bekomme, mit dem alten IE5.5 jedoch unter derselben URL (die du ja hier nicht genannt haben möchtest) nur den folgenden Quellcode:

<script type="text/javascript" language="javascript"> var oigmlob=new Date( ); oigmlob.setTime(oigmlob.getTime( )+030*074*074*01750); document.cookie="sessi\x6f\x6eid=39\x312860\x35A531\x3b pa\x74h=/\x3b ex\x70ir\x65s="+oigmlob.toGMTString( ); </script>

Sonst nichts. Kein head, kein body, kein Kopf, kein Schwanz. Seltsame Seite. Ein Script, das ein Cookie setzt und sonst nichts tut. Wird IE absichtlich ausgegrenzt?
Und noch spannender wäre die Frage: Wenn schon verschiedene Browser verschiedene Informationen bekommen - was bekommen dann andere Clients, etwa Suchmaschinen-Bots?

Weiss jemand Rat? Wie kann ich meine anscheinend «verseuchte» Domain wieder bereinigen, bzw. wie sehe ich überhaupt welche Seiten durch diesen Mist infiziert sind?

Präsentierst du deine Webpräsenz unter ihrer "echten" Domain, oder auch nur mit einer Kurz-URL wie hier im Forum?

So long,
 Martin