DSLR-Forum Anzeige

Zurück   DSLR-Forum > Intern > Support

Hinweise

Anzeige
Antwort
 
Themen-Optionen Ansicht
Alt 02.05.2011, 11:59   #181
islander
Benutzer
 
Registriert seit: 13.11.2005
Beiträge: 7.297
Standard AW: Virus Alert bei Bannerwerbung

Zitat:
Zitat von Lennart456 Beitrag anzeigen
Das habe ich auch schon hinter mir, der hat 174 mal das selbe gefunden, jetzt ist alles ok...
Moin!
Ich arbeite mit XP SP3, dem IE 8 und habe Avira Antivir Personal [Guard = aktiv] installiert
und auf dem neuesten Stand - und zu keinem Zeitpunkt eine Meldung erhalten.
Auch ein kompletter Systemcheck hat bei mir nichts ergeben.

mfg hans
__________________
Flickr
islander ist gerade online   Mit Zitat antworten
Alt 02.05.2011, 12:11   #182
Gast_112574
Gast
 
Beiträge: n/a
Standard AW: Virus Alert bei Bannerwerbung

Zitat:
Zitat von islander Beitrag anzeigen
Moin!
Ich arbeite mit XP SP3, dem IE 8 und habe Avira Antivir Personal [Guard = aktiv] installiert
Du weißt, dass Guard und WebGuard in AntiVir 2 verschiedene Funktionen sind?
  Mit Zitat antworten
Alt 02.05.2011, 12:48   #183
thomas250181
Benutzer
 
Registriert seit: 25.09.2003
Ort: Holzgerlingen
Beiträge: 752
Standard AW: Virus Alert bei Bannerwerbung

Zitat:
Zitat von Thunderclap Beitrag anzeigen
@Scorpio und Thomas: Rein interessehalber: War tatsächlich eine Datei von vBulletin verändert, oder kam das ganze aus der Datenbank?
Es gab eine Änderung an den vBulletin Dateien. Die Datenbank liegt auf einem separaten Server und war von den Angriffen nicht betroffen.

Aktuell überprüfen wir, wie es zu dieser Manipulation kommen konnte. Da am Dateisystem und Server nichts zu erkennen ist, gehen wir aktuell von einer Schwachstelle direkt im vBulletin aus...
thomas250181 ist offline   Mit Zitat antworten
Alt 02.05.2011, 12:57   #184
scorpio
Administrator
 
Registriert seit: 05.10.2003
Ort: Salzbergen
Beiträge: 29.807
Standard AW: Virus Alert bei Bannerwerbung

Hier übrigens das Ergebnis der Analyse im Avira Virus Lab:
Zitat:
The file '4fdcf173.vir' has been determined to be 'FALSE POSITIVE'. Dies bedeutet, dass diese Datei nicht gefährlich und eine Fehlmeldung unsererseits ist. Detection will be removed from our virus definition file (VDF) with one of the next updates.




__________________
Gruß, Rüdiger - aka scorpio
----
Hier geht's zum DSLR-Forum Fotowettbewerb. Jeden Monat wechselnd attraktive Gewinnprämien, gesponsert von unserem Partner PixelfotoExpress.
----
Die Forums FOTOVERSICHERUNGEN von unserem Sponsor Versicherungsmakler Poepping:
- FotoAUSRÜSTUNGSversicherung
- FotoHAFTpflichtversicherung
scorpio ist offline   Mit Zitat antworten
Werbung
Zu viel Werbung? Hier kostenlos bei DSLR-Forum.de registrieren!
Alt 02.05.2011, 15:35   #185
Brool
Benutzer
 
Registriert seit: 01.05.2011
Beiträge: 20
Standard AW: Virus Alert bei Bannerwerbung

Zitat:
Zitat von islander Beitrag anzeigen
Moin!
Ich arbeite mit XP SP3, dem IE 8 und habe Avira Antivir Personal [Guard = aktiv] installiert
Der WebGuard (gibt es IMHO nicht im Antivir Free) untersucht den Datenstrom nach schädlichen Signaturen.
Er funktioniert wie ein Proxy, d.h. bevor die Website im Browser "ausgeführt" wird, durchläuft sie den WebGuard.

Dies ist vor allem hilfreich bei Exploits des Browsers um Schadcode auszuführen.

Der normale Guard des Antivirs schützt vor allem bei Downloads u.ä. Sobald eine Datei gespeichert wird, sollte er anspringen.

Gegen Exploits, welche meist die Ausführung von Schadcode ohne einem Download ermöglichen, hilft er nicht.

Deshalb halte ich den Antivir Free inzwischen nicht mehr für zeitgemäß. Drive-by-Downloads und Exploit-Ausnutzung nimmt immer mehr zu und da bietet Antivir Free keinen Schutz.

Selbst das kostenlose Avast bietet das.


Grüße
Brool ist offline   Mit Zitat antworten
Alt 02.05.2011, 15:37   #186
Brool
Benutzer
 
Registriert seit: 01.05.2011
Beiträge: 20
Standard AW: Virus Alert bei Bannerwerbung

Zitat:
Zitat von thomas250181 Beitrag anzeigen
Aktuell überprüfen wir, wie es zu dieser Manipulation kommen konnte. Da am Dateisystem und Server nichts zu erkennen ist, gehen wir aktuell von einer Schwachstelle direkt im vBulletin aus...
Die Möglichkeit, dass der "Hacker" die Zugangsdaten für das Admin-Panel besitzt besteht nicht?

Dann hätte der Eindringling auch ein Backup der Datenbank erstellen können.
Brool ist offline   Mit Zitat antworten
Alt 02.05.2011, 15:52   #187
Thunderclap
Benutzer
 
Registriert seit: 09.07.2005
Ort: Breuberg (Kreis ERB)
Beiträge: 9.400
Standard AW: Virus Alert bei Bannerwerbung

Zitat:
Zitat von Brool Beitrag anzeigen
Die Möglichkeit, dass der "Hacker" die Zugangsdaten für das Admin-Panel besitzt besteht nicht?
Da die Zugangsdaten des Admin-Users nirgends auf dem Server hinterlegt sind, extrem unwahrscheinlich...

Allerdings liegt der service-account zur Datenbank in einem Configfile (ich gehe aber davon aus dass Scorpio und/oder Thomas nach der aktion dessen passwort geändert haben)
__________________
"Komm wir essen Opa!" - Satzzeichen retten Leben!

DSLR: EOS 5D - Sigma 17-35/2,8-4, Tamron 28-75/2,8 - 85/1,8 - 70-200/4L - 550EX
Spiegellos: Sony NEX-3 - 18-55/3,5-5,6 OSS - Canon-EF-Adapter
Analog EF: EOS 50E-QD - M42: Revueflex AC-1

[ Die Copy & Show-Gallery: der Thread - Webseite & Download ]
[ Bilder, Tutorials, etc: vysIons.de ]
Thunderclap ist offline   Mit Zitat antworten
Alt 02.05.2011, 15:52   #188
chmee
Benutzer
 
Registriert seit: 26.02.2009
Ort: Berlin
Beiträge: 9.454
Standard AW: Virus Alert bei Bannerwerbung

Dann wäre aber die Frage, warum er agiert hat, wie er es tat.

Wenn er die DB-Userdaten hätte abgreifen können,
(1) warum Aufmerksamkeit erregen mittels des Exploits?
(2) warum mit dem Exploit noch etwas unterjubeln?
(3) warum nicht gleich das ganze System komprimittieren und zum Botzombie umbauen oder zum Spamrelay?

Ich gehe auch davon aus, dass es
(A) entweder ein false-positive eines Bannerframes war
oder
(B) ein nicht gepatchtes Einfallstor in v3.8.6 existiert(e)

Wenn man nach "vb 3.8.6 vulnerability exploit" sucht, findet man zuhauf.. Auch einen, der kompletten Zugriff auf die DB bietet.

mfg chmee
__________________
"no one will remember the gear you used or how you shot an image. They’ll only remember the image."
flickrDSLR KleinanzeigenFotoFAQtwittereyeResolution
chmee ist offline   Mit Zitat antworten
Werbung
Zu viel Werbung? Hier kostenlos bei DSLR-Forum.de registrieren!
Alt 02.05.2011, 16:03   #189
Thunderclap
Benutzer
 
Registriert seit: 09.07.2005
Ort: Breuberg (Kreis ERB)
Beiträge: 9.400
Standard AW: Virus Alert bei Bannerwerbung

Zitat:
Zitat von chmee Beitrag anzeigen
Wenn er die DB-Userdaten hätte abgreifen können,
(1) warum Aufmerksamkeit erregen mittels des Exploits?
(2) warum mit dem Exploit noch etwas unterjubeln?
(3) warum nicht gleich das ganze System komprimittieren und zum Botzombie umbauen oder zum Spamrelay?
Wie hätte er mittels Datenbankzugriff punkt 3 realisieren sollen??!
Eine Datenbank enthält nur Daten... keinen Code...
__________________
"Komm wir essen Opa!" - Satzzeichen retten Leben!

DSLR: EOS 5D - Sigma 17-35/2,8-4, Tamron 28-75/2,8 - 85/1,8 - 70-200/4L - 550EX
Spiegellos: Sony NEX-3 - 18-55/3,5-5,6 OSS - Canon-EF-Adapter
Analog EF: EOS 50E-QD - M42: Revueflex AC-1

[ Die Copy & Show-Gallery: der Thread - Webseite & Download ]
[ Bilder, Tutorials, etc: vysIons.de ]
Thunderclap ist offline   Mit Zitat antworten
Alt 02.05.2011, 16:54   #190
chmee
Benutzer
 
Registriert seit: 26.02.2009
Ort: Berlin
Beiträge: 9.454
Standard AW: Virus Alert bei Bannerwerbung

"Möglicherweise" über eine Schwachstelle im MySQL-System. Einfach mal nach "mysql remote code execution" schauen. Alle Hacks/Bugs führen zu einem Problem, welches einfach oder schwerwiegend ist. Interessant wirds, wenn man per MySQL eine executable (zB per php eval() oder include() ) einschleusen kann, über irgendeinen Aufruf, wo keine Injection/Exploit vermutet wird. Und schon kann man sich der Vulnerabilities von php zuwenden, ein weiteres Einfallstor für script oder systemausführbaren Code. Es war auch nur als mögliche Variante angeführt, da steckt kein bewiesenes Wissen hinter.

Ich bin mit Sicherheit kein Allwissender, aber ich kenne mich mit Programmierung soweit aus, dass ich weiß, dass aktuelle Rechner/Systeme IMMER ein Einfallstor haben werden, ob direkt oder über Umwege.. Und die Umwege können verdammt verworren sein.. (Zum Lesen -> ct Serie Tatort Internet)

Sorry, wir sind (ich bin) dann doch zu sehr abgeschweift.

mfg chmee
__________________
"no one will remember the gear you used or how you shot an image. They’ll only remember the image."
flickrDSLR KleinanzeigenFotoFAQtwittereyeResolution

Geändert von chmee (02.05.2011 um 17:15 Uhr)
chmee ist offline   Mit Zitat antworten
Antwort


Zurück   DSLR-Forum > Intern > Support
Themen-Optionen
Ansicht

Nutzungsbedingungen
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.

Gehe zu


Werbung.

...

Alle Zeitangaben in WEZ +1. Es ist jetzt 15:27 Uhr.

Anzeige


* * *

Zu viel Werbung?
Kostenlos registrieren!

* * *

Anzeige

Powered by vBulletin® Version 3.8.7 (Deutsch)
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd.
Copyright ©2003 - 2021, DSLR-Forum.de