Virenbefall oder tatsächlich eine Site von Firefox / Mozilla

Da wirst du dir wohl etwas eingefangen haben. Erstens gibt es die Version gar nicht, die aktuelle Version ist 51.0.1 und zweitens haben Firefox-Installationsdateien die Endung .exe und nicht .js. Eine Datei mit .js wäre eine JavaScript-Datei oder würde sich als solche tarnen.

allein die merkwürdige, grammatikalisch zweifelhafte Aufforderung "....um ihr Firefox reibungslos..." sollte die Alarmglocken klingeln lassen

Du hast Dir etwa eingefangen. Ich empfehle diese Schritte:

● mit AdwCleaner suchen - siehe http://www.at2907.net/downloads/adw.php.

und danach auch noch:

● Die Anwendung "Malwarebytes" zur Suche nach Schadsoftware (Malware) ausführen - siehe http://%20http//www.at2907.net/downloads/mbam.php

englischsprachige benutzer werden schon länger mit ähnlichen malvertising kampagnen anvisiert und getäuscht. dort wird es meistens durch js code in eingebetteten werbebannern auf sonst einigermaßen seriösen webseiten ausgelöst: https://support.mozilla.org/t5/Problems-wi…date/ta-p/37696

Ich habe jetzt in einer abgesicherten Umgebung mal mit einem frischen Profil obigen Link (ohne https) aufgerufen und kann das ganze bestätigen was der Themenersteller sagt. Die DWDL.de Seite sieht nach kurzer Zeit so aus, wie im Bild vom Themenersteller
Eine Datei "Firefox_Setup_Stub_51.1.7.js" wird herunter geladen und zwar von:

https://dl.dropboxusercontent.com/content_link/xxxxx/file?dl=1

(wobei xxxxx eine andere Buschstaben/Zahlenkombination ist, die ich absichtlich in xxxxxx fürs Forum geändert habe)

Klicke ich diese .js Datei an gibt es dann allerdings eine Fehlermeldung

Zitat

---------------------------
Windows - DLL-Initialisierung gescheitert
---------------------------
Exception Processing Message 0xc0000142 Parameters 0x000007FEFD05819C 0x000007FEFD05819C 0x000007FEFD05819C 0x000007FEFD05819C
---------------------------
OK
---------------------------

Alles anzeigen

Danach löschte sich diese Datei von selbst, vom Rechner.(Ich habe mir den Code dieser .js Datei allerdings vorher gesichert)

Es hat den Anschein, dass die Seite absichtlich oder unabsichtlich kompromittiert ist.
Lade ich die Seite DWDL.de danach erneut, bekomme ich die Fehlermeldung:

Zitat

Keine Verbindung zu MySQL

EDIT: Die Seite scheint gerade ganz tot zu sein, wahrscheinlich hatte die letzte MySQL Fehlermeldung auch damit zu tun.

Jetzt geht die Seite wieder, und sieht ganz normal aus, trotzdem hänge ich mal den Screenshot von vorhin noch dran, der zeigt, wie es vorhin aussah:
[attachment=0]dwdl-de.png[/attachment]
Man beachte dabei, den Link, der sich hinter dem Button "Update Firefox" verbirgt. Übrigens konnte man auf dieser Seite nirgends einen Rechtsklick machen. Das Kontextmenü aufzurufen wurde da wohl unterdrückt.

EDIT: ups, nochmal den Ausgangspost genau gelesen, das hat der Themenersteller ja auch schon alles geschrieben. Naja, doppelt hält besser.

Die Frage ist, ist die ansonsten seriös wirkende Seite dwdl.de kompromittiert worden? (Momentan lässt sie sich mal wieder nicht auf rufen)

Es wurden Wartungsarbeiten für heute angekündigt:
https://twitter.com/DWDL/status/832255000818622465

Deswegen lässt sich die Seite nicht aufrufen.

"Notwendige Wartungsarbeiten" muss kein Indiz für deine These sein, kann es aber natürlich.

Ja, da hast du recht. Allerdings sieht man, dass die Hauptseitseite von dwdl.de vorgestern und gestern komplett so aussah wie auf unseren Screenshots gezeigt, das kann von einem Seitenbetreiber ja nicht absichtlich gewollt sein.
(Eine Kompromittierung meinerseits auf meinem System schließe ich aus)

Ich habe leider keinen Twitter Account zur Hand. Vielleicht wäre jemand mal so nett und würde sie mit Verweis auf diesen Thread anfragen/antwittern? :oops:

Hallöchen zusammen!

Ich finde folgendes äußerst merkwürdig:

Hier hatte ich dieses seltsame Fenster zwar mit "https://http://www.dwdl.de/", nicht jedoch bei "http://www.dwdl.de/"!

Es wäre interessant, wenn mir jemand dieses seltsame Verhalten erklären könnte... :-??

Bei https https://www.dwdl.de/ kam sowohl gestern als auch heute die Fehlermeldung der unsicheren Verbindung, die POLIKS in Beitrag #6 gezeigt hat, dh. man kam eigentlich gar nicht auf die Seite.
TmoWizard: ich weiß ja nicht was du angestellt hast, dass du angeblich die https Seite von denen aufrufen kannst, denn die Fehlermeldung auf der Seite ist ziemlich eindeutig.

Zitat

http://www.dwdl.de verwendet ein ungültiges Sicherheitszertifikat. Dem Zertifikat wird nicht vertraut, weil es vom Aussteller selbst signiert wurde. Das Zertifikat gilt nicht für den Namen http://www.dwdl.de. Das Zertifikat ist am Freitag, 29. März 2013 15:23 abgelaufen. Die aktuelle Zeit ist Donnerstag, 16. Februar 2017 21:44. Fehlercode: SEC_ERROR_UNKNOWN_ISSUER

Fügt man eine Ausnahme hinzu dann kommt man auf die Seite von "Parallels Plesk Panel"

Zitat von Zitronella

Fügt man eine Ausnahme hinzu dann kommt man auf die Seite von "Parallels Plesk Panel"

Möglicherweise ist das der Hoster oder Entwickler der Seite...
Zitat: Plesk is a commercial web hosting platform.
Quelle

Nichts steht zum Verkauf. Plesk ist eine Adminstrationsoftware für Server von der Firma Parallels, kein Hoster.
Vor allem kann man eine Domain nicht nur für ein Protokoll verkaufen und für ein anderes Protokoll behalten, eine Domain hat immer genau einen Eigentümer.

Es handelt sich dabei nicht um die Webseite von Plesk, sondern die Standardseite eines Servers, auf dem Plesk installiert ist. Der Server ist für HTTPS einfach nicht konfiguriert. Das Protokoll HTTP/HTTPS ist nicht beliebig austauschbar, es handelt sich dabei grundsätzlich um verschiedene und voneinander vollkommen unabhängige Seiten der gleichen Domain. Server sind nur sehr häufig so konfiguriert, dass es über HTTP und HTTPS die gleichen Inhalte zu sehen gibt oder das eine auf das jeweils andere weiterleitet, was hier einfach beides nicht der Fall ist.