• Neuer Gutscheincode unseres Partners Schutzfolien24:
    DSLR-Forum2025
    Dauerhaft 10% Rabatt auf alle Displayschutzfolien und Schutzgläser der Eigenmarken
    "Upscreen", "Screenleaf", BROTECT" und "Savvies".
    Der Code ist für alle Geräteklassen gültig.
  • Ich freue mich bekannt geben zu können, dass das DSLR-Forum einen neuen Aktionspartner gewinnen konnte.

    Saal Digital bietet Fotoprodukte in HighEnd-Qualität.
    Für die Mitglieder des DSLR-Forums locken Rabatte und Sonderaktionen!
    Alle Informationen dazu sowie ein tolles Einstiegsangebot unseres neuen Kooperationspartners gibt es hier.
  • Mitmachen beim DSLR-Forum Fotowettbewerb Oktober 2025.
    Thema: "Abendstimmung"
    Jeden Monat attraktive Gewinnprämien, gesponsert von unserem Partner PixelfotoExpress.
    Alle Infos zum Oktober-Wettbewerb hier!

  • In eigener Sache!

    Liebe Mitglieder, liebe Besucher und Gäste
    ich weiß, es ist ein leidiges Thema, aber ich muss es ansprechen: Werbung, Werbeblocker und Finanzierung des Forums.
    Bitte hier weiterlesen ...

  • Nicht erreichbare Adressen im Benutzerkonto
    Wir bekommen zurzeit eine große Anzahl an E-Mails, die das System zum Beispiel als Benachrichtigungen an Nutzer verschickt,
    als unzustellbar zurück, weil z.B. die Adressen nicht erreichbar sind oder das Postfach gar nicht existiert.
    Stellt doch bitte sicher, dass die Benachrichtigungen, die ihr vom System erwartet, auch zugestellt werden können.
    Nicht erreichbare E-Mail-Adressen sind dazu wenig hilfreich.
    Danke!
WERBUNG

Forum schon wieder verseucht ?

Status
Für weitere Antworten geschlossen.
Das scheint sich auch noch an anderer Stelle eingenistet zu haben. Ich war eben ausgeloggt und bei jedem beliebigem Link vom Forum werden Daten von hot-nike.co.be geladen
 
ich habe eben die noch anwesenden mods angemailt,
aber 2 von 3 waren dann auch schon offline, falls da noch jemand einen
direkteren Draht hat, dann mal los.
 
Ich wurde eben auch gewaltsam ausgeloggt. Aber keine Umleitung....
Hab Thore ne Nachricht geschickt. Ist er noch da?
 
thore hab ich auch schon informiert, aber noch keine Rückmeldung...
schlafen wohl schon alle......
Thore ist zumindest noch online gemeldet
 
... und dem Rüdiger viel Spass bei der Suche ;)

Denn wie gesagt, von dieser Site werden auch im ausgeloggten Zusatnd Daten geladen, der Iframe versteckt sich dann wohl noch woanders.


Bild: Ausgeloggt auf "Hilfe" geklickt. Funktioniert aber auch bei sämtlichen weiteren Links im Forum

ausgeloggtdmg5.jpg
 
Naja, ich stelle mir langsam die Frage, wenn eine Datei auf Rüdigers System verändert wird, von extern, ob das noch was mit einem Problem im vbulletin zu tun hat. Das sieht doch eher nach anderen Sicherheitslücken aus. Wenn ich hingehe und eine Datei im System manipuliere und einen Link nach werweißwo einbaue, dann liegen die Probleme doch wohl woanders.
 
Frank Räcker schrieb:
Das scheint sich auch noch an anderer Stelle eingenistet zu haben. Ich war eben ausgeloggt und bei jedem beliebigem Link vom Forum werden Daten von hot-nike.co.be geladen
Zum Vergrößern anklicken....
Nein, ich glaube nicht. Dass es im ausgeloggten Zustand immer kommt, liegt daran, dass dann oben rechts immer ein kleines Login-Formular eingeblendet wird, und das benutzt die infizierte Datei https://www.dslr-forum.de/clientscript/vbulletin_md5.js zum clientseitigen (d.h. im Browser durchgeführten) Hashen des Passwortes.

Nur wenn man eingeloggt ist, wird nirgendwo ein Login-Formular angezeigt und deshalb wird man dann auch nicht mit Drive-By-Downloads bombardiert.
 
Zuletzt bearbeitet:
komischerweise scheint mein rechner immun. mein kasper melder nix, und von dieser nike-seite wird auch nix geladen. adaware und co finden ebenfalls nix. kann das alles vielleicht mit einer bereits länger zurückliegenden infektion der systeme mancher user zu tun haben? ich meine damit, dass ein trojaner in den usersystemen aktiv wird, wenn sie das forum besuchen? bin wahrlich kein hacker, könnte mir sowas aber vorstellen....

gruß

alex
 
photonenfänger schrieb:
komischerweise scheint mein rechner immun.
Zum Vergrößern anklicken....
Wenn der Angreifer derselbe wie neulich ist, benutzt er höchstwahrscheinlich eine Java-Lücke. Wenn Du gar kein oder ein aktuelles Java-Plugin hast, dann sollte auch nichts passieren.

mein kasper melder nix
Zum Vergrößern anklicken....
Hast Kaspersky sowas wie Intrusion Prevention auf HTTP-Protokoll-Ebene? Falls nicht, dann wird der Angriff an sich nicht erkannt, läuft aber wegen fehlender Sicherheitslücke im Browser ins Leere. Und weil deshalb auch kein Virus/Trojaner geladen wird, springt dann der Virenscanner auch nicht an. Dumm ist es dann nur, wenn eine entsprechende Sicherheitslücke vorhanden ist UND der Virenscanner den Virus/Trojaner nicht erkennt.

Nur Security-Suites mit Intrusion Prevention (z.B. NIS) erkennen zusätzlich noch die Angriffsmethode an sich - unabgängig vom Inhalt, der dann später nachgeladen werden soll, und unabhängig vom Patchlevel und Sicherheitslücken des Browsers. Das ist halt ein doppeltes Sicherheitsnetz... sollte die Angriffsmethode unbekannt sein, springt als zweite Instanz immer noch der Virenscanner an, wenn die Datei auf Platte geladen werden soll ... sollte der Virus/Trojaner unbekannt sein, springt vorher die Intrusion Prevention an, so dass der Download blockiert wird, ehe der Virus/Trojaner vom Virenscanner für harmlos befunden wird. Nur falls beide Instanzen versagen, hat man Pech gehabt. Es sei denn, die dritte Instanz, nämlich ein aktuell gepatchter Browser ohne Zero-Day-Exploits (ja, haha, ich weiß) lässt es erst gar nicht soweit kommen, dass der Angriff/Download funktioniert.

Ich will hier keine Werbung für NIS (Norton Internet Security) machen, aber meiner bescheidenen (nicht-wirklich-Sicherheitsprofi-) Meinung nach sollte Intrusion Prevention als zusätzliches Sicherheitsnetz immer dabei sein. Es müssen dann immerhin alle drei Instanzen versagen, damit Malware auf die Platte findet: Sicherheitslückenfreier Browser, Intrusion Prevention und Virenscanner.

Übrigens: Firefox hat wenn ich es richtig verstanden habe so eine Art "Intrustion Prevention Light", weil er sich von google (?) immer regelmäßig eine Liste von bekannten Malware-Sites zieht. Also keine Prüfung des Verhaltens der Webseite wie bei einer echten Intrustion Prevention, aber immerhin werden bekannte Seiten blockiert. Beim direkten Aufruf kommt dann diese dunkelrote Warn-Seite. Ich bin mir aber nicht sicher, ob das auch bei solchen Drive-By-Downloads mit tief eingebetteten JavaScript-Sauereien funktioniert.

So... Vortrag Ende ;)
 
Zuletzt bearbeitet:
@starscape: das muss ich erstmal verdauen:)

@carsten: hab den link schon angeklickt, allerdings innerhalb meiner bitbox, passiert ist....nix. aber zugegeben, außerhalb will ichs garnicht erst versuchen...:(
 
ne, den link kannste anklicken, da öffnet sich nur die scriptdatei aus dem forum, zumindest bei mir so, ich konnte auch gemütlich zum ende scrollen und den externen link ansehen und kopieren und aufrufen.....aua.....

ähmmm.....aber nix garantie das nicht doch vorher schon was passiert.....wenn du nicht sicher bist....lieber lassen.

so, georgius hab ich auch noch informiert und benson auch, aber keine reaktion.
hier fehlt ein frühwarnsystem
 
Zuletzt bearbeitet:
starscapefan schrieb:
Nein, ich glaube nicht. Dass es im ausgeloggten Zustand immer kommt, liegt daran, dass dann oben rechts immer ein kleines Login-Formular eingeblendet wird, und das benutzt die infizierte Datei https://www.dslr-forum.de/clientscript/vbulletin_md5.js zum clientseitigen (d.h. im Browser durchgeführten) Hashen des Passwortes.

Nur wenn man eingeloggt ist, wird nirgendwo ein Login-Formular angezeigt und deshalb wird man dann auch nicht mit Drive-By-Downloads bombardiert.
Zum Vergrößern anklicken....
Danke, das leuchtet ein. Mögest du Recht haben ;)
 
etliche vB-Boards haben das gleiche "Problem".
Zum Vergrößern anklicken....

Dann wird es Zeit für wbb, phpbb oder oder oder :D Gibt ja genug Auswahl - einfach die "beste" raussuchen, die aktuell weniger Lücken hat. *lach*

Aber scheint gerade ein lohnenswertes Ziel zu sein, das DSLR-Forum... hmmm hmmm, mal schauen wie das sich in Zukunft entwickelt und ob das Forum dank "Dauerangriffe" nur noch über eine VM besucht wird :D


Liebe Grüße,
Kevin.

/edit: Jetzt steht ja was anders in der JS-Datei *lach*

hXXp://hot-nike.co.be/vfe.php?vwq=ca11b58a4be224e8

Hot-Nike ... rofl, was für ein blöder Domainnamen sich Hacker da aneignen ...


/edit2:

Bin Dauereingeloggt und nutze No-Script, daher dürfte mein System soweit sauber sein (hab schon bzgl. Rootkits gesucht).
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
WERBUNG
Zurück
Oben Unten