• Herzlich willkommen im "neuen" DSLR-Forum!

    Wir hoffen, dass Euch das neue Design und die neuen Features gefallen und Ihr Euch schnell zurechtfindet.
    Wir werden wohl alle etwas Zeit brauchen, um uns in die neue Umgebung einzuleben. Auch für uns ist das alles neu.

    Euer DSLR-Forum-Team

  • In eigener Sache!

    Liebe Mitglieder, liebe Besucher und Gäste
    ich weiß, es ist ein leidiges Thema, aber ich muss es ansprechen: Werbung, Werbeblocker und Finanzierung des Forums.
    Bitte hier weiterlesen ...

  • DSLR-Forum Fotowettbewerb neu erfunden!
    Nach wochenlanger intensiver Arbeit an der Erneuerung des Formates unseres internen Fotowettbewerbes ist es Frosty als Moderator
    und au lait als Programmierer gelungen, unseren Wettbewerb auf ein völlig neues Level zu heben!
    Lest hier alle Infos zum DSLR-Forum Fotowettbewerb 2.0
    Einen voll funktionsfähigen Demowettbewerb kannst du dir hier ansehen.
  • Neuer Partner: AkkuShop.de
    Akkus, Ladegeräte und mehr (nicht nur) für Digitalkameras und Drohnen
  • Neuer Gutscheincode unseres Partners Schutzfolien24:
    DSLR-Forum2024
    Dauerhaft 10% Rabatt auf alle Displayschutzfolien der Eigenmarken "Upscreen", "Brotec", "Savvies".
    Der Code ist für alle Geräteklassen gültig.
  • Stimmt ab über die Sieger des DSLR-Forum Fotowettbewerbs März 2024.
    Thema: "Arbeitsmittel"

    Nur noch bis zum 31.03.2024 23:59!
    Jeder darf abstimmen!
    Zur Abstimmung und Bewertung hier lang
  • Frohe Ostern!

    Wir wünschen allen DSLR-Forum Nutzern, ihren Familien und Freunden sowie unseren Sponsoren und Partnern und deren Familien und Freunden ein frohes Osterfest.

    Euer DSLR-Forum Team!
WERBUNG

Forum schon wieder verseucht ?

Status
Für weitere Antworten geschlossen.
Anlegen ker paradoxerweise nix - wobei mein Honeypot da eigentlich etwas offenener sein müsste.
Abers nervt einfach nur - alle paar Sekunden gehts ab-
Schickt ne Rundmail los, wenn das Problem gelöst ist. So wies die letzten Wochnen und insbes jetzt ist gehts nur noch auf die ******.
 
Am tollsten wäre selbstverständlich, wenn das vBulletin-Team bald zu einer endgültigen Lösung käme.

Was mich interessiert ist, wie groß ist das vBulletin-team denn, das diese es nicht wirklich schaffen mit ein bis maximal zwei Skriptkiddies fertig zu werden?

PS: Was für ein Grund hat das Skriptkiddie denn für diese Attacke auf eurer Site?
Hatte irgendein Mod vor kurzer Zeit evtl. ganz übelsten Stress mit einem ex-User, evtl. drohungen über solch eine attacke?
 
Was mich interessiert ist, wie groß ist das vBulletin-team denn, das diese es nicht wirklich schaffen mit ein bis maximal zwei Skriptkiddies fertig zu werden?

Wie groß das Team ist, kann Dir wohl eher das Team selber sagen. Ich weiß das nicht. Sie haben aber wohl ein Forum, in welchem dieses Thema auch diskutiert wird.

PS: Was für ein Grund hat das Skriptkiddie denn für diese Attacke auf eurer Site?

Es dürfte schlicht die Anzahl der User sein. Je mehr davon, desto größer die Chance, Schadsoftware effektiv verteilen zu können.

Hatte irgendein Mod vor kurzer Zeit evtl. ganz übelsten Stress mit einem ex-User, evtl. drohungen über solch eine attacke?

Ein Mod ist per Definition böse. :devilish:
Nee, Scherz. Würde man einen einzelnen Mod direkt treffen wollen, wäre dies wohl der falsche Weg. So trifft es alle (Mods, Admins und User) und der eventuell angesprochene Mod weiß nicht einmal, dass er gemeint sein könnte.
 
Das ganze scheint schon mal unter Windows für Windows gemacht zu sein... Windows EOLs *schmunzel*

So jetzt aber ab ins Bett

ICH würde das Forum solange bis das geklärt ist durch eine HTML ersetzten die erklärt was los ist.... und zwar so schnell wie möglich....

Grüße,
Bjoern
 
Hatte auch blöde Meldungen UND ein merkwürdiges Pop up das mir dekoriert mit chinesischen Zeichen sagte "cannot Read Memory". Weiss jemand ob das was damit zu tun hat?

Ich lasse jetzt gerade meinen mcafee den kompletten Scan machen. Wird die malware denn auch sicher erkannt? Sprich kann ich sicher sein dass mein pc frei ist wenn mein virenscanner das sagt?

Danke Schonmal
 
habe auch seltsame Meldungen hier beim Aufruf des Forums erhalten, solche hier, am laufenden Band. Bis das geklärt ist bin ich hier wieder off.
 
Mal eine Empfehlung an alle, die nur NoScript nutzen: Holt euch Request Policy, ist ebenfalls ein Plugin für Firefox:

https://www.requestpolicy.com/

(Wurde hier glaube ich schonmal empfohlen, aber da viele hier nur über NoScript diskutieren, möchte ich es nochmal ins Gedächtnis holen.)

Bei mir blockiert RequestPolicy nämlich automatisch dieses ominöse ipq.co und somit kann er gar nicht erst irgendetwas laden. Das kann zwar auch mal nervig sein, weil man anfangs bei ALLEN Seiten die Rechte einräumen muss, aber das geht mit wenigen Klicks und dafür erhält man doch eine sehr gute Kontrolle über das, was da so geladen wird. ;)

Und zum Thema "Wo wird das iFrame angezeigt?": Bei mir auch, nutze den aktuellsten Firefox.

Allen Usern, die wieder/diesmal infiziert wurden, wünsche ich viel Erfolg für das Beheben des Problems...
 
Das IFrame wurde eliminiert.


Der Code wurde direkt vor das Logo ins Header-Template gebastelt. Problem: Im Header-Template ist der Code nicht zu finden. Im Quelltext steht er aber.
Speichert man das Template einfach ohne Änderungen neu ab, ist das IFrame weg.

Und nun die Preisfrage, die niemand beantworten kann: Wie kommt der Mist da hin?
Dateien wurden - wie beim ersten Mal am 1.Mai - nicht verändert, in den Logs steht nichts, die Datei-Überwachung wirft auch nichts aus, die vB-Dateien sind alle ok. Direkt über die Server kommt auch nichts, alle Zugangspasswörter wurden in den letzten Wochen mehrfach geändert.


Was zum Geier passiert da?
 
Vorschlag für einen (wenn auch nicht gerade eleganten) "Notfall-Workaround":

Ein Cronjob, der jede Stunde prophylaktisch die Template und .php-Files des Forums durch saubere Versionen ersetzt.
Das schlimmste was dabei passieren kann, ist dass ein paar User kurz eine fehlerhafte Anzeige bekommen, wenn sie ausgerechnet während des Kopiervorgangs die Seite aufrufen...
Sollte jeweils recht flott gehen - Image-Files müssen ja z.B. nicht mitkopiert werden...

@Scorpio:
Keine der Dateien hatte ein aktuelles Änderungsdatum?! Im ganzen vBulletin-Directory nicht?
 
Zuletzt bearbeitet:
Hmmm...
Läuft auf den Forumsservern ein IDS wie Snort oder Samhain?
Falls nicht wäre das evtl ein erster Schritt um den Angriffsweg zu identifizieren...

Ein IDS ordentlich zu konfigurieren ist allerdingsnicht trivial...
 
Der Code wurde direkt vor das Logo ins Header-Template gebastelt. Problem: Im Header-Template ist der Code nicht zu finden. Im Quelltext steht er aber.
Speichert man das Template einfach ohne Änderungen neu ab, ist das IFrame weg.

Wie guckst Du Dir die Header Datei an? Wie speicherst Du sie wieder ab?
 
Wie guckst Du Dir die Header Datei an?

Egal ob direkt im ACP oder per heruntergeladener Datei auf dem lokalen Rechner, der Code ist nicht drin. Er ist auch per Textsuche nirgends in den Templates zu finden. Die Templates stimmen auf's Byte genau mit den Originalen überein.


Wie speicherst Du sie wieder ab?
Es reicht ein Klick auf "Speichern" im ACP, um den IFrame zu eliminieren. Auch ohne auch nur ein einziges Zeichen geändert zu haben.
 
Zuletzt bearbeitet:
Also in Anbetracht der Tatsache, das diverse Zugangspasswörter wohl mehrfach geändert wurden, schließe ich aus, das es sich um einen Angreifer handelt, der auch mal eben die Log's löschen/manipulieren kann... aber muss nicht unbedingt sein^^

###

Ist aber schon sehr merkwürdig, das Dinge verändert werden, das nirgends erfasst wird aber durchaus der Schaden eintritt.

Allein der Gedanke, das sich der/die Angreifer hier im Supportbereich darüber freuen, das alle im dunklen tappen, macht mich krank...

###

Es kann ja ein Profil erstellt werden, wann tritt das erste Zeichen in Kraft, was verursacht der Angreifer blablupp - damit ggf. der Täterkreis eingeschränkt werden kann.

Bzw. die Schadsoftware mal in einer sicheren Umgebung anschauen - schauen, was die genau machen will und wo sie hin telefonieren möchte - sofern die Software das überhaupt tut.


Liebe Grüße,
Kevin.
 
Das IFrame wurde eliminiert.


Der Code wurde direkt vor das Logo ins Header-Template gebastelt. Problem: Im Header-Template ist der Code nicht zu finden. Im Quelltext steht er aber.
Speichert man das Template einfach ohne Änderungen neu ab, ist das IFrame weg.

Und nun die Preisfrage, die niemand beantworten kann: Wie kommt der Mist da hin?
Dateien wurden - wie beim ersten Mal am 1.Mai - nicht verändert, in den Logs steht nichts, die Datei-Überwachung wirft auch nichts aus, die vB-Dateien sind alle ok. Direkt über die Server kommt auch nichts, alle Zugangspasswörter wurden in den letzten Wochen mehrfach geändert.


Was zum Geier passiert da?
Root-Kit, das dir ein korrektes System vorspielt?
 
Bzw. die Schadsoftware mal in einer sicheren Umgebung anschauen - schauen, was die genau machen will und wo sie hin telefonieren möchte - sofern die Software das überhaupt tut.

Die bisherigen Exploits hier haben einen Loader gestartet, der dann verschiedene Malware auf die befallenen Clients installiert hat.
Den "Täterkreis" wirst du nicht einkreisen können... in der Regel werden Exploits über Relais-Hosts (in der Regel befallene Cliens in einem Botnetz) abgesetzt, so dass die eigentliche Quelle nicht nachvollziehbar ist.

Wahrscheinlich kann jeder halbwegs kleine Hacker so einen Code einpflanzen.

Dank einfacher Exploit-Baukästen a la Metasploit: Definitiv!
Wobei es sich hier scheinbar nicht um einen bekannten Exploit handelt, sonst wäre das Einfallsloch längst gefunden...
 
Aktuelle Version: 4.1.3

Wie viele Versionen und damit geschlossene Sicherheitslücken dazwischen liegen, weiß ich nicht. Aber meiner Meinung sollte man sich nicht mehr hier einloggen, solange die Version des Boardes nicht aktuell ist und so die Lücken noch offen sind…

Version 4.x ist eine neu entwickelte Software, zum Teil auf die Version 3.x basierend. Und nebenbei, auch Foren mit der Version 4.x sind betroffen....
 
Version 4.x muss glaube neu bezahlt werden, da "neue" Entwicklung - daher ist es wohl auch nicht installiert.

Es gibt aber noch Sicherheitsupdates für 3.x - sofern die Exploits gefunden werden.


Liebe Grüße,
Kevin.
 
Status
Für weitere Antworten geschlossen.
WERBUNG
Zurück
Oben Unten