Am Wochenende erhielten manche Besucher von photoscala einen Malware-Warnhinweis. Wir können Entwarnung geben – das Problem ist behoben:
Kurz zum Hintergrund: Der Bannerserver von photoscala wurde kompromittiert und hat danach vor jedes Banner einen Verweis auf ein Schadskript platziert. Offensichtlich hat ein Bot am Samstagabend das Bannersystem, das die Anzeigen einbindet, attackiert und dort ein Sicherheitsloch gefunden und ausgenutzt. Als Folge enthielt der Quelltext unserer Seite bei den Werbeanzeigen sogenannte „inline frames“ oder „iframes“ über die eine fremde URL eingebunden wurde, über die wiederum später möglicherweise Schadcode in Umlauf gebracht werden sollte. Nach unserem aktuellen Kenntnisstand wurde allerdings kein Schadcode verbreitet. Dennoch erhielten Besucher von photoscala vorsorglich einen Hinweis, der sich sinngemäß so las:
„Achtung: Ein Besuch dieser Site beschädigt evtl. Ihren Computer“
Wir haben daraufhin gestern im Laufe des Tages die Datenbank des Bannersystems bereinigt und das Bannersystem gepatcht. Die Sicherheitslücke ist geschlossen; das Bannersystem – und damit auch photoscala – sind wieder sicher.
(thoMas)
Trojaner eingeschleusst
Über das Sicherheitsleck wurde auf meinem Rechner ein Trojaner der das Programm „Security Tool“ installierte eingeschleusst. Dieses Tool gaukelt vor ein Virenscanner zu sein, welcher verschiedene Viren auf meiner Festplatte gefunden haben will und zum Kauf einer Lizenz auffordert. Ein ziemlich lästiger Trojaner, der zwar von meinem „richtigen“ Virenscanner gefunden wurde, dennoch war es nicht ganz trivial diesen wieder zu entfernen.
Security Tool
[quote=Gast]Über das Sicherheitsleck wurde auf meinem Rechner ein Trojaner der das Programm „Security Tool“ installierte eingeschleusst. Dieses Tool gaukelt vor ein Virenscanner zu sein, welcher verschiedene Viren auf meiner Festplatte gefunden haben will und zum Kauf einer Lizenz auffordert. Ein ziemlich lästiger Trojaner, der zwar von meinem „richtigen“ Virenscanner gefunden wurde, dennoch war es nicht ganz trivial diesen wieder zu entfernen.[/quote]
Ging mir genauso. Der erste Trojaner auf meinem Computer seitdem ich den Rechner vor 3 Jahren gekauft habe. Meines Wissens gibt es keine Anwendung, die das so genannte „Security Tool“ automatisch vom Computer entfernt (hab jedenfalls keins im Internet gefunden), so dass ich es manuell entfernen musste. Ziemlich lästige Angelegenheit, wenn man bedenkt, dass man dafür ganze Registry-Einträge manuell löschen muss und die Anleitungen aus dem Internet zum Entfernen der Schaddateien z.T. überholt sind (die Dateinamen sind nicht mehr dieselben)… 🙁
Zum Thema Schadenfreude
[quote=Gast]Sie sind aber auch ein ausgesprochener Glückspilz: Herabgestiegen aus lichten Höhen – gleich voll in die Flade getreten … 8-)[/quote]
„Spottsucht ist oft Armut an Geist“ – Jean de La Bruyère (1645 – 1696)
Wenn man in Schulen
die unheimlich positiven Auswirkungen der SMS-Stummelsprache – einher gehend mit einer Verkümmerung des sinnzusammenhängenden Denkens und Formulierens – live vermittelt bekommt, dann weiß man solche „Bereicherungen“ auch unheimlich zu schätzen.
Anders formuliert: Man könnte das auch als einen Wegbereiter von strukturellem Analphabetismus begreifen (der leider verbreiteter ist, als es das „Land der Lästerer und Nörgler“ wahrzunehmen im Stande ist). Muss man aber auch nicht begreifen. Besonders dann nicht, wenn man schon unter einem so vielsagendes „Akronym“ die Internetwelt bereichert …
Bei geschützten Browsern….
…wie zB. ZoneAlarm-geschützte Systeme deren Browsern mit ZoneAlarm-Plugins aufgepimpt sind kam die Warnung tatsächlich auch dann wenn man www.photoscala.de direkt eingab und die Seite öffnen wollte.
Ansonsten gab es nur bei Aufruf der Seite über die Suchergebnisse von Google den Warnhinweis durch Google. Wobei bereits das Suchergebniss mit dem Gefahrenhinweis ergänzt war.
Der ZoneAlarm-Plugin für Browser überprüft aber scheinbar auch nur die Einträge von Google, denn als Erklärung verlinkt das ZoneAlarm-Plugin auf die Google-Erklärung.
Und wie für solche Erklärungen von Google typ. erkennt man daraus, dass Google die betreffende Seite (regelmäßig) „besucht“ hat…;-)
Jetzt fehlt nur noch, dass Google einem (ehrenamtlich) auch noch beim „Reinigen“ unterstützt…#-)
Macht
Google auch!
Jetzt müssen sie nur noch
Jetzt müssen sie nur noch Google davon überzeugen, denn vor einigen Minuten wurde photoscala noch von Firefox blockiert.
[quote]Safe Browsing
Diagnoseseite für www.photoscala.de
Wie ist die gegenwärtige Einstufung von www.photoscala.de?
Diese Website ist gegenwärtig nicht als verdächtig eingestuft.
Ein Bestandteil dieser Website wurde in den letzten 90 Tagen 1 mal aufgrund verdächtiger Aktivitäten auf die Liste gesetzt.
Welche Befunde hat Google beim Besuch dieser Website festgestellt?
Bei 52 Seite(n) von insgesamt 200 Seiten dieser Website, die wir in den letzten 90 Tagen getestet haben, wurde festgestellt, dass Malware (Schadsoftware) ohne Einwilligung des Nutzers heruntergeladen und installiert wurde. Der letzte Besuch von Google auf dieser Website war am 2010-10-24 und verdächtiger Content wurde auf dieser Website zuletzt am 2010-10-24 gefunden.
Die Malware wird in 3 Domain(s) gehostet, darunter requestbusforward.co.cc/, personallybuild.co.cc/, gamealitysa.com/.
Bei der Verteilung von Malware an Besucher dieser Website fungieren anscheinend 1 Domain(s) als Überträger, darunter clickme122.ipq.co/.
This site was hosted on 1 network(s) including AS21499 (IMS).
Hat diese Website als Überträger zur Weiterverteilung von Malware fungiert?
In den letzten 90 Tagen hat www.photoscala.de anscheinend nicht als Überträger für die Infektion von Websites fungiert.
Hat diese Website Malware gehostet?
Nein, diese Website hat in den letzten 90 Tagen keine Malware gehostet.
Nächste Schritte:
* Zur vorherigen Seite zurückkehren.
* Falls Sie Eigner dieser Website sind, können Sie eine Überprüfung Ihrer Website mit den Google Webmaster-Tools anfordern. Weitere Informationen über den Prüfprozess erhalten Sie in der Hilfe für Webmaster.[/quote]
Vielleicht
mal dort nachhaken, wo schon in der Vergangenheit immer wieder Internet-Plagen ihren Ursprung hatten.
Für mich ist’s zumindest einer von einigen Gründen, das L-user-forum dringend zu meiden (und andere Gründe waren ja auch hierorts nachzulesen) …
L-user-forum
[quote=Gast]einer von einigen Gründen, das L-user-forum dringend zu meiden [/quote]
Aha. Du hast aber schon verstanden, daß es DORT ein FEHLALARM war und daß ein Teil der vBulletin Forensoftware FÄLSCHLICH als Virus angemeckert wurde? Das war dort kein Virus, sondern ein Fehler im Virenscanner.
http://www.vbulletin.com/forum/showthread.php?364313-trojan-script-473411/page2
„Plug-ins“?
Hallo thoMas,
danke für den Hinweis.
Gestern morgen meldete Firefox, dass weitere Plugins nötig seien, um die Seite darstellen zu können. Ziemlich fiebrig und noch nicht ganz wach, hab ich einfach mal auf „Suchen und installieren“ (oder wie das heisst) geklickt (was soll schon sein? Die letzte Version von Flash-Player oder so…). Es öffnete sich der altbekannte Dialog zum Installieren von Plug-ins und die unter Linux altbekannte Meldung, dass keine Plug-ins gefunden werden konnten. Ooops? Hääh? Moment… Wir sind doch hier auf Windoof und da gibt’s doch grade nicht „Nicht gefunden“. Der Dialog meldete auch nicht, um welches fehlende Plug-in es sich handeln würde. Seltsam, seltsam… Da wird doch wohl nicht….
Später dann die o.g. Meldung von Google.
Wisst Ihr, ob das eine mit dem anderen zu tun hat bzw. zu tun haben könnte? Mein Virenscanner (avast!) hat jedenfalls keinen Alarm geschlagen (was natürlich nichts heißen muss…). Auch hat sich kein „Security Tool“ bei mir gemeldet (zumindet noch nicht. Hab den Rechner aber auch noch nicht neu gebootet…).
Ich versuche das zu klären
Ich versuche das zu klären bzw. habe die Frage an den Programmierer weitergeleitet …
(thoMas)
Manche…?
…
photoscala wurde attackiert. Wer den URL aufrief, wurde bspw. vom Firefox gewarnt, dass die Site Schadcode verbreitet. Wer nicht gewarnt wurde, hatte quasi Pech und sollte sein System auf Schädlinge scannen.
Wen es erwischt hat, der sollte davon ausgehen, dass alle Passwörter und sonstigen sicherheitsrelevanten Informationen in Gefahr sind – und diese (nach dem Sicherheitsscan des Systems durch installierte Antiviren-Software) auswechseln. Am besten nutzt man dazu einen Computer, der noch sicher ist bzw. von dem nicht bekannt ist, dass er verseucht ist bzw. fremdkontrolliert wird oder werden könnte.