Hifidelio-User.de

Das (inoffizielle!) Forum für Hifidelio-User
Aktuelle Zeit: 18.08.2017 07:05

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]




Ein neues Thema erstellen Auf das Thema antworten  [ 28 Beiträge ]  Gehe zu Seite 1, 2  Nächste
Autor Nachricht
 Betreff des Beitrags: Virus auf hifidelio-user.de ???
BeitragVerfasst: 14.02.2007 23:09 
Offline
Benutzeravatar

Registriert: 20.08.2005 21:45
Beiträge: 179
Wohnort: Ingolstadt
nAbend,
ich weiß nicht was geändert wurde, aber mein Virenscaner schlägt seit kurzem auf euer Seite Alarm.

Eine Datei namens
sploit.anr und xpl.wmf tauchen da auf. Typ Exploit...

Gruß
Brause

_________________
Brausedelio(frei nach Schuggis Schuggidelio) 320GB exBasic 2.3.28; Ipod Video 1.2.1


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 14.02.2007 23:11 
Offline
Moderator
Benutzeravatar

Registriert: 29.01.2005 00:43
Beiträge: 1749
Wohnort: CH, Bern
Dito

_________________
Was war ST-64 :?:


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 14.02.2007 23:13 
Offline
Benutzeravatar

Registriert: 19.01.2005 11:46
Beiträge: 86
Wohnort: Wien
Ihr seid nicht alleine :)

_________________
Jetzt schließen wir die Augen und dann sehen wir weiter!


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 14.02.2007 23:18 
Offline
Moderator
Benutzeravatar

Registriert: 29.01.2005 00:43
Beiträge: 1749
Wohnort: CH, Bern
Plus eine verdächtige Mail:
Bild

Gruss, Bergi

_________________
Was war ST-64 :?:


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 14.02.2007 23:21 
Offline

Registriert: 30.09.2006 13:54
Beiträge: 152
möglicherweise hierher...
Zitat:
iframe src='h**p://prevedtraf.biz/adv/172/new.php'


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 15.02.2007 00:02 
Offline
Benutzeravatar

Registriert: 19.01.2005 11:46
Beiträge: 86
Wohnort: Wien
@Bergi

Das Mail habe ich auch bekommen. Der Virenscanner schlug aber gleich beim Versuch die Seite über den Link zu öffnen an.

_________________
Jetzt schließen wir die Augen und dann sehen wir weiter!


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 15.02.2007 00:04 
Offline
Moderator
Benutzeravatar

Registriert: 29.01.2005 00:43
Beiträge: 1749
Wohnort: CH, Bern
Kassandra hat geschrieben:
Das Mail habe ich auch bekommen. Der Virenscanner schlug aber gleich beim Versuch die Seite über den Link zu öffnen an.

Ja, der Virenscanner hat bei mir auch geblockt, FireFox wurde insgesamt fast unbedienbar :-(

_________________
Was war ST-64 :?:


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 15.02.2007 00:08 
Offline
Site Admin
Benutzeravatar

Registriert: 18.01.2005 01:00
Beiträge: 1091
Wohnort: Essen
Ich schreibe gleich eine Info!


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 15.02.2007 00:09 
Offline
Benutzeravatar

Registriert: 19.01.2005 11:46
Beiträge: 86
Wohnort: Wien
Firefox hat bei mir nicht gemuckt, nur die ewigen Kaspersky Meldungen haben genervt. Jetzt bin ich auf dem iMac unterwegs :D

_________________
Jetzt schließen wir die Augen und dann sehen wir weiter!


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 15.02.2007 00:13 
Offline
Moderator
Benutzeravatar

Registriert: 29.01.2005 00:43
Beiträge: 1749
Wohnort: CH, Bern
AntiVir Windows Workstation:

Code:
In der Datei 'C:\Dokumente und Einstellungen\schnipp\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-7d40c0b8-6d78fab3.zip'
wurde ein Virus oder unerwünschtes Programm 'Java/BlackBox.AA.1' [JAVA/BlackBox.AA.1] gefunden.


Code:
In der Datei 'C:\Dokumente und Einstellungen\schnapp\Lokale Einstellungen\Temp\kgxsq64y.wmf'
wurde ein Virus oder unerwünschtes Programm 'EXP/MS06-001.WMF' [EXP/MS06-001.WMF] gefunden.

_________________
Was war ST-64 :?:


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 15.02.2007 00:19 
Offline
Moderator
Benutzeravatar

Registriert: 19.03.2005 00:06
Beiträge: 220
Wohnort: nahe Hannover
Hallo zusammen,

die erwähnten Dateien sollten - wenn dies nicht aktuelle Virenscanner sowieso getan haben - aus dem Browsercache gelöscht werden (anschließend Papierkorb leeren) und das, ohne sie vorher anzufassen oder gar auszuführen (wmf ist als Grafik standardmäßig mit dem Microsoft Bildanzeigetool verknüpft, NICHT anzeigen lassen, da gibs nichts zu gucken!).

Die Dateien enthalten Schadsoftware!

Das Forum wurde gehackt, offenbar wurde eine Lücke in der PHPBB-Forensoftware ausgenutzt, so dass ein automatischer Bot sich registriert hat und sich selbst mit Administratorenrechten ausstatten konnte. So wurde eine Forenbeschreibung mit dem HTML-Befehl < iframe > versehen, über die zu der o.g. schadhaften Seite verlinkt wurde, die per manipuliertem Header die infizierte WMF-Datei zum Download sendet.
Weiterhin wurde von diesem Möchtegern-Administrator eine E-Mail an alle Forenbenutzer versandt, um zum Besuch der infizierten Startseite aufzufordern ("visit...").

Soweit meine Einschätzung von hier, alle harten Fakten vom (richtigen) Admin.

Viele Grüße
?

_________________
Man soll schon Java-Programmierer gesehen haben, die im Aufzug die "Drei" drücken, wenn sie in den vierten Stock wollen...
Kleine Bitte: Lieber Gott, gib mir Geduld. Sofort!


Zuletzt geändert von fragezeichen am 15.02.2007 00:22, insgesamt 1-mal geändert.

Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 15.02.2007 00:20 
Offline
Site Admin
Benutzeravatar

Registriert: 18.01.2005 01:00
Beiträge: 1091
Wohnort: Essen
Wie ich bereits an die Moderatoren rundgemailt habe, wurde das Forum auf eine mir noch unbekannte Art und Weise gehackt und so manipuliert, das beim Aufruf der Startseite der Download von Schadcode von der Adresse h**p://prevedtraf.biz/adv/172/new.php initiiert wurde.

Aktuelle Virenscanner haben zum Glück direkt Alarm geschlagen und Bergi hat das einzig richtige getan: mich sofort angerufen.
Nachdem ich das Forum zunächst sofort gesperrt habe, stellte ich fest, das in meinem Posteinfang Mails von Account webmaster@hifidelio-user.de eingetroffen sind mit dem Inhalt "visit ! http://www.hifidelio-user.de !!!!"
Offenbar wurde diese Mail an alle registrierten Nutzer des Forums verschickt. :shock: Die Analyse hat schnell ergeben, dass der o.a. Link sich als iFrame hinter in der Forenbezeichnung "Offtopic" versteckt hat. Nachdem ich ihn dort gelöscht habe, konnte ich das Forum wieder freigeben.

Hintergrund ist möglicherweise eine PHP-Schwachstelle, die hier beschrieben ist. Ich mußte leider feststellen, das der Parameter register_globals nicht auf off gesetzt war, was eigentlich Standard sein sollte. Ich habe das jetzt korrigiert und hoffe, das dadurch für die Zukunft weitere Angriffe dieser Art verhindert werden.
Jetzt muss ich mich erst mal von dem Schock erholen... :?


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 15.02.2007 00:24 
Offline
Moderator
Benutzeravatar

Registriert: 29.01.2005 00:43
Beiträge: 1749
Wohnort: CH, Bern
Admin hat geschrieben:
Jetzt muss ich mich erst mal von dem Schock erholen... :?

Dito. Again.

Zisch & Prost ;-)

Gruss, Bergi

_________________
Was war ST-64 :?:


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 15.02.2007 00:30 
Offline
Benutzeravatar

Registriert: 19.01.2005 11:46
Beiträge: 86
Wohnort: Wien
Schicke euch einen guten Metaxa rüber, der hilft auf den Schock hinauf! :D

Gruß aus Wien
Kassandra

_________________
Jetzt schließen wir die Augen und dann sehen wir weiter!


Nach oben
 Profil  
 
 Betreff des Beitrags:
BeitragVerfasst: 15.02.2007 00:36 
Offline
Moderator
Benutzeravatar

Registriert: 29.01.2005 00:43
Beiträge: 1749
Wohnort: CH, Bern
Kassandra hat geschrieben:
Schicke euch einen guten Metaxa rüber, der hilft auf den Schock hinauf! :D

Habe mir fast gedacht das diese Metaxa etwas alkoholisches ist.
Kannte ich nicht, kenne aber einen Griechen hier der Karametaxas heiszt... Hmm, was bedeutet das nun? Alter Trunkenbold? ;-)

Gruss, Bergi

_________________
Was war ST-64 :?:


Nach oben
 Profil  
 
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen Auf das Thema antworten  [ 28 Beiträge ]  Gehe zu Seite 1, 2  Nächste

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.

Suche nach:
Gehe zu:  
cron
Powered by phpBB® Forum Software © phpBB Group
Deutsche Übersetzung durch phpBB.de