Forum Übersicht - RE: Virus durch Forum? - 7

#91 von Leondrix , 15.12.2005 09:21

Das Problem ist weiterhin da, habe gerade auch eine Trojanermeldung bekommen!

#92 von Dimage-Kalle , 15.12.2005 09:28

Hallo,

also ich bekomme hier überhaupt nix!

Ich fange mir aber immer dann Viren ein, wenn ich mich auf irgendwelchen Japanischen Akt-Foren-Seiten rumtreibe /huh.gif" style="vertical-align:middle" emoid="" border="0" alt="huh.gif" />

/ninja.gif" style="vertical-align:middle" emoid="" border="0" alt="ninja.gif" />

uppppps

Gruß /good.gif" style="vertical-align:middle" emoid="" border="0" alt="good.gif" />

Dimage-Kalle

#93 von ingobohn , 15.12.2005 09:56

Witzig... Zuhause mit dem IE6 habe ich zwar auch das rote "X", aber keine Virenwarnung. Hier im Büro mit Firefox kommt keine Warnung, heute morgen mit IE6 auch nicht - aber jetzt plötzlich kommt mit IE6 eine Viruswarnung... /blink.gif" style="vertical-align:middle" emoid="" border="0" alt="blink.gif" />

#94 von Dimage-Kalle , 15.12.2005 09:57

Hi,

das rote x sehe ich allerdings auch unten links.

Ich habe darauf aber keine Funktion /unsure.gif" style="vertical-align:middle" emoid="" border="0" alt="unsure.gif" />

Gruß /good.gif" style="vertical-align:middle" emoid="" border="0" alt="good.gif" />

Dimage-Kalle

#95 von AcJoker ( gelöscht ) , 15.12.2005 09:58

Hatte mich auch zufrüh gefreut, inzwischen hatte ich auch meine alltägliche Virenmeldung.

#96 von *mb* , 15.12.2005 10:12

Zitat von Fred
Hallo zusammen,

fast jedes mal wenn ich hier das minolta-forum besuche bekomme ich von McAffe, die Meldung "JS/Wonka geschnappt und gelöscht". (seit ca. 5 Tagen) Kann also am Tage mehrmals sein.

So ist es! Der Spuk treibt seit Samstag, 10.12.05 sein Unwesen. Da war es vielleicht einem ukrainischen Viren-Programmierer etwas langweilig?

Die Viren-Warnung von McAfee kommt immer beim erstmaligen Aufsuchen des Minolta-Forums nach einem Browser-Neustart.

#97 von Michael H , 15.12.2005 10:27

Die Admins müssen nur endlich mal den Webbug aus der Forumsseite entfernen. Kann doch nicht so schwierig sein!

#98 von Mark , 15.12.2005 13:50

ZITATDie Admins müssen nur endlich mal den Webbug aus der Forumsseite entfernen. Kann doch nicht so schwierig sein![/quote]

Na, Admins macht endlich /wink.gif" style="vertical-align:middle" emoid="" border="0" alt="wink.gif" />. Ich denke Frank arbeitet daran so schnell und intensiv wie möglich und was viel wichtiger ist, es ihm sein Zeitrahmen erlaubt. Ich kann das rote Kreuz auch sehen, bekomme aber keine Viruswarnung. Sehr wahrscheinlich blockt mein System das auch ohne zu fragen.
Übrigens, so trivial ist es dann wohl doch nicht, schliesslich "spielen" wir hier nicht an einem Testserver herum, sondern am Forum und der damit verbundenen Datenbank und den damit verbundenen Skripten. Ein Verlust sollte dann doch vermieden werden oder?
Also bitte noch ein wenig Geduld.

Mark

#99 von Gelöschtes Mitglied , 15.12.2005 14:08

Lustiges Phänomen /smile.gif" style="vertical-align:middle" emoid="" border="0" alt="smile.gif" /> Im Firefox läuft alles korrekt, unter IE 6.0 sehe ich auch lauter roter Kreuzer. -> Spricht wieder für Firefox /laugh.gif" style="vertical-align:middle" emoid="" border="0" alt="laugh.gif" />

Gruss
Peter

#100 von steffens , 15.12.2005 16:34

@Peter :

bei mir das gleiche Phänomen, uns ja, sehe ich genauso /rolleyes.gif" style="vertical-align:middle" emoid="" border="0" alt="rolleyes.gif" />

#101 von Raymond , 15.12.2005 16:40

Hi,

Also die Abwesenheit eines roten Kreuzes heißt genau garnix.
Der Internetexplorer hat die Angewohnheit den Platz an den er Bilder laden wird mit einem Rahmen zu markieren, die sich dann mit Bildern füllen sobald diese vom Server kommen. Wenn das Bild nicht kommt (warum auch immer) oder wenn das Bild zum Beispiel in einem ungültigen Format ist (kein JPEG/GIF/PNG oder einfach eine leere Datei), dann wird er dieses rote Kreuz darstellen.

Die Funktion ansich ist nicht tragisch und durchaus so beabsichtigt - sagt sie dem surferenden User doch nur, daß dort etwas nicht vollständig geladen werden konnte.

Die Tatsache das Opera und die Geckobasierten Browser (Mozi & so weiter) das nicht so anzeigen heißt nicht das sie nicht ebenso versucht hätten das File runterzuladen oder es ggf. sogar geschafft haben. Sie gehen nur anders damit um. Hier scheinbar indem sie nichts sichtbares anzeigen.

Jetzt ist doch die Frage wie ist das da reingekommen und was wollte es auslösen.
Offensichtlich scheint es jemandem gelungen zu sein in den Server vom Forum derart einzubrechen und die Daten so zu verändern das eben versucht wird

1
 
http&#58;//85&#46;255&#46;113&#46;10/?to=nan24&amp;from=in

herunterzuladen. Was sich dahinter verbirgt ist derzeit erstmal unklar - wenn man versucht mit einem normalen WGET an den URL zu gehen liefert der Server nichts aus (zumindest bei mir und jetzt nicht). Das kann zu einem anderen Zeitpunkt anders gewesen sein, deshalb bekommen einige vielleicht auch die Virenmeldung weil sie die Datei mal bekommen haben.

Es scheint also das hier eine count[1].htm dahinter lag die dann vermutlich JavaScript-Code enthalten haben wird. Hat jemand so eine Datei und kann den Inhalt zur Verfügung stellen? (Vorsicht bitte nur jemand der weiß was er da tut - nicht das sich das Teil jemand ausführt und hinterher sagt ich hätte dazu geraten).

Für uns als User gelten damit eigentlich die (ich glaube von matthiaspaul) weiter oben gegebenen Tips. JavaScript deaktivieren und abwarten.

Eine Firewall - wie auch immer sie heißt ist in diesem speziellen Fall übrigens vollkommen machtlos - davon könnt Ihr euch 20 installieren - das bringt garnichts. In diesem Fall - wohlgemerkt.
Hier helfen allein richtig konfigurierte Browser, die mit allen Updates aktuell gehalten werden und ein Virenscanner. Das mit den Updates gilt auch für Firefox und Opera-Benutzer.

Allgemeingesprochen kann man sagen das man mit Browsern die nicht auf den Namen IE hören etwas sicherer ist, da die Hauptangriffsziele solcher Attacken eigentlich immer den IE-Sicherheitslücken gelten. Das kann und sollte man aber nicht als Wertung gegen den IE verstehen, hier wird einfach nur das Opfer am häufigsten angegriffen, wo man sich den größten Erfolg verspricht.

Zum Virenscanner: Dieser sollte auf Scan-On-Access gestellt sein und einen bedrohlichen Zugriff blockieren können (und auch so eingestellt sein). Er sollte gemäß der o.g. Anleitung auch nicht-ausführbare Dateien scannen. Der Scanner ist selbstredend aktuell zu halten.

Mehr kann man leider auch schon fast nicht tun.

Wer welches Profil sieht beim auf das Bild klicken oder wer rote Kreuze sieht oder nicht, ist eigentlich nicht relevant.

Zu klären gibt es nur die folgenden Punkte:Wurde wirklich in den Forenserver eingebrochen, falls ja wie?Wie ist die Lücke zu schließen?Wie kriegt man den Verweis aus allen Seiten möglichst schnell und ohne Datenverlust da raus?Bleiben Backdoors oder andere Löcher offen?und für jeden einzelnen:Hab ich möglicherweise den Schadcode auf meinem System zur Ausführung gebracht und falls ja - was hat sich jetzt alles in mein System eingenistet.Letztere Punkt gilt insbesondere genau für die Leute die IE oder Firefox verwenden, die keine Virenmeldung bekommen haben und die JavaScript aktiviert hatten.

Wenn das für einen gilt dann heißt das nicht zwangsläufig das was passiert ist, schließlich scheint der ukrainische Server derzeit ja garnicht mehr zu arbeiten, aber es könnte eben sein.

So, ich will keine Panik machen, aber mang der ganzen teils, sagen wir mal vorsichtig, uninformierten Spekulationen hier etwas Licht reinbringen.

ciao,
Ray, Operabenutzer

#102 von siggi ( gelöscht ) , 15.12.2005 16:45

Bei mir ist es beim Aufruf des Forum der Trojaner Jeem:
http://www.gesolei.de/modo/jeem.jpg' target='_blank

Er versteckt sich im Temporary Internet-Ordner in der Datei Count.HTM

LG
siggi
(aber "F-Secure" wehrt ab /biggrin.gif" style="vertical-align:middle" emoid="" border="0" alt="biggrin.gif" /> )

#103 von Frank , 15.12.2005 17:39

Zitat von Mark
ZITATDie Admins müssen nur endlich mal den Webbug aus der Forumsseite entfernen. Kann doch nicht so schwierig sein!

Na, Admins macht endlich /wink.gif" style="vertical-align:middle" emoid="" border="0" alt="wink.gif" />. Ich denke Frank arbeitet daran so schnell und intensiv wie möglich und was viel wichtiger ist, es ihm sein Zeitrahmen erlaubt. Ich kann das rote Kreuz auch sehen, bekomme aber keine Viruswarnung. Sehr wahrscheinlich blockt mein System das auch ohne zu fragen.
Übrigens, so trivial ist es dann wohl doch nicht, schliesslich "spielen" wir hier nicht an einem Testserver herum, sondern am Forum und der damit verbundenen Datenbank und den damit verbundenen Skripten. Ein Verlust sollte dann doch vermieden werden oder?
Also bitte noch ein wenig Geduld.

Mark [/quote]
Danke Mark!

Könnte mal bitte jemand schauen, ob nun alles wieder klar ist?

#104 von fwiesenberg , 15.12.2005 17:43

@Frank

ZITATKönnte mal bitte jemand schauen, ob nun alles wieder klar ist?[/quote]

Jetzt sieht's gut aus!
Kein "rotes X" mehr.

DANKe! /good.gif" style="vertical-align:middle" emoid="" border="0" alt="good.gif" />

#105 von Mark , 15.12.2005 18:04

Also aus meiner Sicht scheint es wieder ok zu sein, das Kreuz ist weg...

Mark

Beiträge:	40
Registriert am:	27.01.2005

Beiträge:	1.062
Registriert am:	11.02.2004

Beiträge:	11.247
Registriert am:	03.11.2003

Beiträge:	1.062
Registriert am:	11.02.2004

Beiträge:	3.282
Registriert am:	22.12.2003

Forum Übersicht - RE: Virus durch Forum? - 7

Bitte geben Sie einen Grund für die Verwarnung an