Wiki → Kann ich nicht aufrufen

[knuti1960]

Wenn ich im Forum oben den Link zum Wiki anklicke (http://thinkwiki.de/), erhalte ich folgendes:



und mein Malwarebytes meldet einen Trojaner. Die Seite https://thinkwiki.org/wiki/ kann ich ganz normal aufrufen/öffnen.
Liegt vermutlich an mir hier, ansonsten wäre das ja schon aufgefallen. Woran kann es liegen? Ist mir zuerst im Firefox aufgefallen, aber auch in Chrome oder Opera kann ich die Seite nicht aufrufen, immer wieder kommt eine Meldung von Malwarebytes.
Wenn ich die Seite bei Malwarebytes zu den zugelassenen Ausnahmen hinzufüge, geht es (nach einem Neustart vom Browser). Also wohl ein Fehler von MWB. Komisch, hatte ich bislang nur bei tatsächlich ominösen/suspekten Seiten, eine solche Meldung von MWB.
Hat sich damit also erledigt (während des Schreibens hier hatte ich rumprobiert und das Hinzufügen zu der "zulässigen Liste" hat geholfen). Ich poste jetzt trotzdem mal, kann ja gelöscht werden, wenn es unpassend ist...

 

[Mornsgrans]

Das liegt daran, dass das Wiki über http und nicht https aufgerufen wird.

Aktualisiere mal die Signaturen in Malwarebytes.

 

[knuti1960]

MWB habe ich gerade nochmal aktualisiert, es bleibt dabei (siehe unten). Signaturen aktualisieren, das sagt mir nichts...

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Datum des Schutzereignisses: 23.04.21
Uhrzeit des Schutzereignisses: 22:01
Protokolldatei: a591da98-a46e-11eb-b996-3c970e74e7d0.json

-Softwaredaten-
Version: 4.3.0.98
Komponentenversion: 1.0.1251
Version des Aktualisierungspakets: 1.0.39747
Lizenz: Premium

-Systemdaten-
Betriebssystem: Windows 10 (Build 19042.928)
CPU: x64
Dateisystem: NTFS
Benutzer: System

-Einzelheiten zu blockierten Websites-
Bösartige Website: 1
, C:\Program Files\Mozilla Firefox\firefox.exe, Blockiert, -1, -1, 0.0.0, , 

-Website-Daten-
Kategorie: Trojaner
Domäne: thinkwiki.de
IP-Adresse: 178.63.51.2
Port: 80
Typ: Ausgehend
Datei: C:\Program Files\Mozilla Firefox\firefox.exe



(end)

 

[martina]

Da fehlt jetzt nur noch eine Angabe, welcher "Trojaner" dort gefunden worden sein soll...
Ist MWB inzwischen so paranoid, dass es http:// grundsätzlich als "bösartig" einstuft?

 

[Mornsgrans]

Wahrscheinlich.

Wenn der TE endlich mal https://thinkwiki.de aufrufen würde, hätte er schon selbst die Antwort gefunden...

 

[martina]

Ist hier oben in der Menüzeile im Forum halt noch so als http:// verlinkt.

 

[knuti1960]

endlich mal https://thinkwiki.de aufrufen

Hatte ich gestern gleich zu Anfang versucht, Ergebnis war wie heute:

 

[Mornsgrans]

Die Seite ist sauber und Dein Malwarebytes zeigt einen false-positive an.
https://www.virustotal.com/gui/url/...55f3eee1716077451da0e3e6f3399f3f873/detection

https://windowsreport.com/fix-ssl_error_rx_record_too_long-firefox-error/
Wenn Du ein Antiviren-Addin im Firefox aktiviert hast, deaktiviere ihn testweise, starte Firefox neu und rufe die Seite erneut auf.

 

[mifritscher]

Ich habe mir das mal etwas genauer angeschaut:

> wget http://thinkwiki.de/

1.
--2021-04-24 09:16:33--  http://thinkwiki.de/
Auflösen des Hostnamens thinkwiki.de (thinkwiki.de)… 178.63.51.2, 2a01:4f8:120:7284::2
Verbindungsaufbau zu thinkwiki.de (thinkwiki.de)|178.63.51.2|:80 … verbunden.
HTTP-Anforderung gesendet, auf Antwort wird gewartet … 301 Moved Permanently
Platz: https://thinkwiki.de/ [folgend]

2.
--2021-04-24 09:16:33--  https://thinkwiki.de/
Verbindungsaufbau zu thinkwiki.de (thinkwiki.de)|178.63.51.2|:443 … verbunden.
HTTP-Anforderung gesendet, auf Antwort wird gewartet … 301 Moved Permanently
Platz: http://thinkwiki.de/Hauptseite [folgend]

3.
--2021-04-24 09:16:34--  http://thinkwiki.de/Hauptseite
Verbindungsaufbau zu thinkwiki.de (thinkwiki.de)|178.63.51.2|:80 … verbunden.
HTTP-Anforderung gesendet, auf Antwort wird gewartet … 301 Moved Permanently
Platz: https://thinkwiki.de/Hauptseite [folgend]

4.
--2021-04-24 09:16:34--  https://thinkwiki.de/Hauptseite
Verbindungsaufbau zu thinkwiki.de (thinkwiki.de)|178.63.51.2|:443 … verbunden.
HTTP-Anforderung gesendet, auf Antwort wird gewartet … 200 OK
Länge: nicht spezifiziert [text/html]
Wird in »index.html« gespeichert.

index.html                                                                          [ <=>                                     ]  40,79K  --.-KB/s    in 0,08s   

2021-04-24 09:16:34 (497 KB/s) - »index.html« gespeichert [41772]

So ganz koscher ist das nicht. Vor allem die Weiterleitung zw. dem 2. und dem 3. Schritt ist so eigentlich nicht in Ordnung. Eine Weiterleitung von https auf http sollte man nie, wirklich nie machen. Mich wundert es ehrlich gesagt, dass Browser das überhaupt noch mitmachen.


Übrigens, das passiert auch, wenn man direkt über https einsteigt:

 > wget https://thinkwiki.de/

1.
--2021-04-24 09:20:25--  https://thinkwiki.de/
Auflösen des Hostnamens thinkwiki.de (thinkwiki.de)… 178.63.51.2, 2a01:4f8:120:7284::2
Verbindungsaufbau zu thinkwiki.de (thinkwiki.de)|178.63.51.2|:443 … verbunden.
HTTP-Anforderung gesendet, auf Antwort wird gewartet … 301 Moved Permanently
Platz: http://thinkwiki.de/Hauptseite [folgend]

2.
--2021-04-24 09:20:25--  http://thinkwiki.de/Hauptseite
Verbindungsaufbau zu thinkwiki.de (thinkwiki.de)|178.63.51.2|:80 … verbunden.
HTTP-Anforderung gesendet, auf Antwort wird gewartet … 301 Moved Permanently
Platz: https://thinkwiki.de/Hauptseite [folgend]

3.
--2021-04-24 09:20:26--  https://thinkwiki.de/Hauptseite
Verbindungsaufbau zu thinkwiki.de (thinkwiki.de)|178.63.51.2|:443 … verbunden.
HTTP-Anforderung gesendet, auf Antwort wird gewartet … 200 OK
Länge: nicht spezifiziert [text/html]
Wird in »index.html.1« gespeichert.

index.html.1                                                                        [ <=>                           ]  40,79K  --.-KB/s    in 0,08s

Das klingt verdächtig danach, als ob das Wiki selbst nicht weiß, dass es über https erreichbar ist - der Webserver aber alle http Aufrufe nach https umleitet. Nicht ärgern - dieser Fehler wird häufig gemacht ;-) Ich durfte da selbst schon so einige Server glattziehen^^ Ist meist eine Konfigurationssache des entsprechendes Wiki. Passiert auch gerne mal, wenn da ein Reverse Proxy zwischenhängt, dass den SSL Teil erledigt. Dann muss man dem Wiki sagen, wie es von außen erreichbar ist.

Vermutlich springt da dann eine Heuristik von Malwarebytes an. Und ganz ehrlich: Nachvollziehbar. Eine https Anfrage auf http umzuleiten macht man nicht. So ein Verhalten kennt man eigentlich nur von gehackten Servern. Einzig die Fehlermeldung von Malwarebyte dürfte ruhig etwas konkreter sein...

 

[knuti1960]

Die Seite ist sauber

Schon klar, deshalb habe ich sie zur "zulässigen Liste" hinzugefügt.

@mifritscher: Danke fürs Nachforschen, das ist wohl eine gute Erklärung für das Verhalten von MWB.

 

[Mornsgrans]

torsten hat inzwischen den Aufruf in "https" geändert.

Das Forwarding von https://thinkwiki.de nach http://thinkwiki.de/Hauptseite ist aber noch drin.

P.S.:
Forensuche

 

[mifritscher]

Ok, das ist ein Fortschritt ;-) Jetzt sollte nur noch die Wikisoftware selbst umkonfiguriert werden - die leitet nämlich auch https Anfragen noch immer auf http um, bevor es dann wieder auf https umschwenkt. Und genau da liegt das grundlegende Problem

 

[torsten]

hi,

da war in der Tat noch der Wurm drin! Der Server war richtig auf https konfigurfiert das Wiki leider nicht und die rewrite regeln waren auch noch alt.

Jetzt müsste eigentlich alles passen.

Danke.

 

[mifritscher]

Jap, sieht gut aus