Sucuri Block - Netzwerk infiziert?

sb2704

Cadet 3rd Year
Registriert
Apr. 2020
Beiträge
32
Einen wunderschönen so kurz vor Ostern!

Ich habe seit gestern ein merkwürdiges Verhalten festgestellt, zu dem ich Hilfe benötige. Screenshots angehangen.
Auf meinem iPhone wollte ich die Seite des Download Festival Deutschland (downloadgermanyfestival.de) aufrufen und wurde von der Sucuri Firewall der Seite mit der Begründung "Obfuscated attack payload detected" geblockt.
Hab ich mir erst mal nichts bei gedacht und die Seite mehrfach versucht neu aufzurufen; selbes Problem.
Sowohl im Heimnetz als auch über die mobilen Daten.


Bin dann erneut über VPN drauf; ging zunächst, nach mehreren Klicks auf der Seite jedoch nicht mehr.

Das selbe habe ich dann auf meinem Windows PC (Windows 10 x64) ausprobiert; selbes Problem.
Was mir jedoch am PC bei Firefox auffiel; die merkwürdige Erweiterung des Links, ich habe sie sicherheitshalber mal als Code eingefügt, da ich sie für Javascript Schadcode halte? Ich hab keine Ahnung.
Heute beim Einkaufen habe ich das Öffnen der Seite im HotSpot des Marktes mit einer VPN Verbindung probiert: es tritt weiterhin auf! Ist mein iPhone möglicherweise tatsächlich infiziert und mein Heimnetz auch?
Deaktivieren des Javascripts schafft hier Abhilfe! Das Menü funktioniert dann zwar nicht mehr wie gewünscht aber der Code wird nicht mehr angehängt.

Code:
downloadgermanyfestival[PUNKT]de[SLASH]lineup?_gl=1*k0v7al*_up*MQ..*_ga*MTcwMzcyMzcxNy4xNjUwMTE4MDA0*_ga_4313X7RY3C*MTY1MDExODAwNC4xLjAuMTY1MDExODAwNC4w

Okay, um diesen Code geht es offenbar. Versuche ich auf meinem MacBook die Seite zu öffnen, dann kann ich unproblematisch auf alle Links im Menü klicken, ohne, dass diese durch den Code erweitert werden und die Seite läuft wunderbar.
Auf meinem PC sehe ich aber ja bereits beim Fahren auf einen Link die Zieladresse und es fällt auf, dass bereits beim Klick auf den Menüschalter der Seite, dieser Code kurz "aufflasht" und dann beim Verwenden irgendeines Links im Menü hinten drangehangen wird.

Die Frage, die sich mir jetzt stellt: Liegt das Problem auf der Seiter meines Netzwerk bzw. meiner Endgeräte oder doch auf Seiten des Betreibers? Versucht die Seite MICH anzugreifen und blockiert sich selbst? Vielleicht ist der Code auch gar nicht das, wofür ich ihn halte. Ich hab den Betreibern bereits eine Mail geschickt und sie um Stellungnahme zu meiner Feststellung gebeten.

Ich konnte übrigens weder auf den Applegeräten, noch auf dem Windows PC merkwürdiges Verhalten, Prozesse, Auslastung oder Ähnliches feststellen.

Ich hoffe ihr könnt mir helfen, meine Frage zu beantworten.
 

Anhänge

  • screenshot1.png
    screenshot1.png
    28 KB · Aufrufe: 276
Zuletzt bearbeitet:
Ich habe die Seite mal mit meinem iPhone geöffnet und das Lineup lässt sich auch ohne Probleme anzeigen. Weder auf meinem iPhone noch auf meinem Mac wird der link wie im Code-Abschnitt verändert. Wenn ich deinen Link aufrufe kommt ebenfalls die Sucuri Firewall-Meldung. Der Link wird daher vermutlich bei dir geändert. Eventuell hast du ein Browser-Plugin installiert? Vielleicht hilft der Private-Modus auf den Desktop-Browsern werden dort zumindest die Plugins (immer?) deaktiviert. Insgesamt sieht es für mich nicht so aus, als ob die Seite dich angreifen würde.
 
Vielleicht ein Antiviren-Programm mit "Web-Schutz" aktiv, das den SSL-Kanal crackt um die gesendeten Daten zu überprüfen und die Website stellt fest, dass die Verschlüsselung geknackt ist? Bei einem Ticket-Händler, der aktiv gegen Schwarzmarktschwurbeleien und Ticketdiebstahl vorgehen muss, würde mich das nicht wundern. Nieder mit der AV-Seuche
 
Zumindest auf dem Mac stört die geknackte Verschlüsselung bei mir nicht aber komplett ausschließen würde ich es nicht.
Der Parameter _gl scheint aber meistens von Google genutzt zu werden (fürs Geo-Targeting). Bist du eventuell über eine Werbeanzeige auf die Seite gegangen?
 
Zurück
Oben