Virus Alert bei Bannerwerbung

[Gast_285548]

Lieber CarstenHH,

so viele Posts in so kurzer Zeit..
Mal ins Detail:

Mit solchen Instrumenten wie Systemwiederherstellung oder Reparaturinstallation gehe ich nicht an mein System, es sei denn, es kommt nicht mehr drauf an. Wenn Ihr mit solchen Granaten daran geht, bitte schön.
Ein einfaches neuinstallieren des MBR aus der Konsole hat schon den Erfolg gebracht, so einen Tipp hätte ich mir gewünscht.

Wenn Du laut Deinem Profil aus der IT-Branche kommst, brauchst Du ja
- entweder nicht fragen, wie Du Dein System wieder herstellst oder
- hast nicht das notwendige Hintergrundwissen, um hier so auf den Putz zu hauen.
Weder Systemwiederherstellung noch Reparaturinstallation sind "Granaten", wenn man sie richtig zu bedienen weiß. Zunächst einmal macht man auch davor eine Sicherung; darüber hinaus fasst die Reparaturinstallation ausschließlich die Systemdateien und den dafür zuständigen Teil der Registry an.
Dass Du Dir den Tipp mit dem MBR gewünscht hast, ist schön, aber niemand hier kann hellsehen. Schadsoftware, die sich in den MBR schreibt, ist in den letzten Jahren eher rar geworden; deswegen ist es durchaus möglich, dass der Schädling hier das gar nicht direkt war, sondern nur mittelbar durch einen Treiber o.ä. Deinen MBR beeinflusst hat. Wenn er aber selbst den MBR manipuliert hat (hat Dein Virenscanner denn da etwas gefunden?), ist es unwahrscheinlich, dass er nur in selbigem steckt. Wer Bootloader programmieren kann, kann auch Systemdateien manipulieren.

Ich finde es ist ein absolutes Unding, das es zu soetwas hier im Forum kommen kann. Ich frage mich ernsthaft, was hier für Sicherheitsvorkehrungen aktiv sind.
SO ein Vorfall in einem Unternehmen und der Verantwortliche kann die Koffer packen.

Blödsinn, denn:
1. 100% Sicherheit gibt es nicht, das wurde schon gesagt.
2. Es ist ein Unterschied, ob ich in einem Unternehmen für die IT & deren Sicherheit verantwortlich oder nur ein externer Dienstleister bin. Im letzteren Fall trägt der Kunde - insbesondere wenn er nach eigenem Bekunden 20 Jahre IT-Erfahrung hat - eine ganz erhebliche eigene Verantwortung.
3. Wer angeblich selbst IT-Erfahrung hat und sich dann auf die Sicherheit Außenstehender verlässt - hat wohl nicht genug IT-Erfahrung.

Zum einen, klar liegst du da richtig, natürlich bin ich an meinem System als Admin angemeldet. Und ich glaube, wir wissen beide, dass man an seinem System als Admin angemeldet ist, egal ob zu Hause oder im Unternehmen.

Auch das zeigt leider, dass es mit Deiner IT-Erfahrung nicht weit her sein kann. Ich habe zwar beruflich "nur" 15 Jahre IT auf dem Buckel, aber wenn ich als Admin angemeldet bin, dann weiß ich auch, dass es meine eigene Verantwortung ist. Wenn ich ein guter Admin bin, nutze ich Adminrechte nur, wenn ich sie brauche. Brauchst Du sie zum Surfen, Mailen, Dokumente bearbeiten? Warum nutzt Du sie dann?

Ich kann aus mehr als 20 jahren IT sagen, wenn eine grobe Fahrlässigkeit vorliegt, weil technisch mögliche Sicherheitsvorkehrungen nicht getroffen wurden, dann geht jemand. Ich habe schon jemand gehen lassen, und er geht dann auch, auch übers Arbeitsgericht.

Herzlichen Glückwunsch. Wer sagt Dir übrigens, dass hier nicht alle möglichen Sicherheitsvorkehrungen getroffen werden?

Du kannst Dir sicher sein, in einem modernen Unternehmen wird nicht mit der Keule drauf geschlagen (systemwiederherstellung / Reparaturinstallation) sondern expliziet das Tier ausgegraben und die Schäden im Detail behoben und nicht mit dem Vorschlaghammer.

Richtig, die Systemwiederherstellung wird selten verwendet, weil der Umgang mit ihr wirklich viel Wissen erfordert. "Das Tier ausgraben" tut man nur dann, wenn sich das bzgl.
- Arbeitsaufwand der IT
- Arbeitsausfall beim Anwender
- Vermeidung möglicher Folgeschäden
lohnt und es eine Aussicht auf erfolgreiche Analyse gibt. Das macht Rüdiger ganz sicher beim Server - das hat er schon mehrfach gesagt - aber mit Sicherheit nicht auf Deinem System. Dafür bist Du selbst verantwortlich und wenn Du mit Deinen 20 Jahren IT-Erfahrung alles besser weisst - warum hast Du dann gefragt?

Ich würde vorschlagen, damit belassen wir es dann bei der von Dir gestarteten OT-Diskussion, denn in diesem Thread geht es um das Problem des Boards und nicht um Deins.

 

[H0lger]

An die betroffenen Benutzer: das Forum ist nicht Schuld an Eurem Malheur, es wäre so oder so auch woanders irgendann passiert. Das Forum wurde in diesem Fall als Hilfsmittel benutzt.
Die einzig wahre Lösung ist entweder ein Backup von vor dem Virenbefall einzuspielen (aus Erfahrung meistens leider nicht vorhanden) und anschliessend sofort alles zu aktualisieren oder noch besser komplett neu zu installieren.

An den/die Admins: ein gehackter Server muss neu installiert werden, da hilft meiner Meinung nach nichts, so lange das Einfallstor nicht bekannt ist. Ich gehe mal davon aus, dass mehrere Backups vorhanden sind, so dass auch ein Backup von vor dem ersten Befall eingespielt werden kann.

 

[Drehmo]

Bei mir startet nach einem Reboot meines Routers beim Seitenaufruf Java6 ohne jedwedes Zutun durch mich.
Danach bekomme ich eine Fehlermeldung: "Unable to access jarfile\\jewelrynoir.ce.ms\public\thumb.jpg"
Danach will folgendes Programm installiert werden: "setup3202811968.exe".
Klicke ich auf "nein" kommt das Popup so oft wieder, bis ich die Seite verlasse.

Eine Virenmeldung erhalte ich mit antivir nicht.

Firefox 4 + Win7 + Antivir

Bei mir war es sehr ähnlich, nur das nach einmaliger Ablehnung von setup.exe Win7 nicht mehr nachgefragt hat. Ich habe Java manuell beendet, dieses hat sich aber dann im Laufe der Zeit wieder gestartet.
Später beim Online Banking erschien dann eine Meldung das ein Cross Site Scripting Versuch unterbunden wurde...

Ist denn schon was bekannt über den Virus?

 

[Gast_112574]

Das Tier mal checken, was es macht und den besten Weg zur Säuberung empfehlen. Euch mal zu Wort melden, kommunizieren, den Usern mal mitteilen, was los ist. Ich habe einige male hier gepostet, in der Hoffnung, es hat sich mal jemand mit demTier beschäftigt und kann einen guten Tipp geben, wie man es sauber rausbekommt.

Google funktioniert auch bei dir und dann wirst du das hier finden!

 

[Dorum]

Hallo und Guten Tag Admin und Mods,
ich hätte gerne solche Hinweise, mit einem Veröffentlichungs-Datum.

"Dringender Sicherheitshinweis!
Heute im Laufe des Tages ....."

 

[Gast_112574]

...ich hätte gerne solche Hinweise, mit einem Veröffentlichungs-Datum.
"Dringender Sicherheitshinweis!
Heute im Laufe des Tages ....."

Hat es doch gegeben
Ob da nun alle von dir geforderten Einzelheiten drin waren, weiß ich allerdings nicht mehr.

 

[Tarantino83]

Hallo und Guten Tag Admin und Mods,
ich hätte gerne solche Hinweise, mit einem Veröffentlichungs-Datum.

"Dringender Sicherheitshinweis!
Heute im Laufe des Tages ....."

Das war auch mein erster Gedanke, aber ich hab mir dann den Thread gesucht

Datum und Uhrzeit in der Info wäre super

 

[Thunderclap]

Das Forum hier ist ja scheinbar kein Einzelfall...

Übel finde ich aber wie man bei vBulletin offenbar damit umgeht:
http://www.vbulletin.com/forum/showthread.php/372307-My-site-keeps-getting-hacked-!

Grundtenor: Unser Boardsystem ist sicher... das kann nur woanders herkommen!
(Seltsamerweise betreffen die Infektionen aber alle vBulletin-Systeme...)

 

[Tarantino83]

Als MacUser wäre man auf der sicheren Seite gewesen, oder?

 

[Thunderclap]

Als MacUser wäre man auf der sicheren Seite gewesen, oder?

Ja... es werden wohl nur Win32 Executables verteilt...

 

[Tarantino83]

Ja... es werden wohl nur Win32 Executables verteilt...

Also ist mein Win64bit auch sicher gewesen? Ich muss , wenn ich nach Hause komme erstmal nen Scan machen.

Werde wohl im Forum nur noch per iPad surfen...ist wohl sicherer,
wobei ich
Firefox4 + Addons habe, Vista 64 Ultimate, alle Updates, Firewall und wenn ein programm sich installieren will bekomme ich eine Windowsmeldung

 

[Thunderclap]

Also ist mein Win64bit auch sicher gewesen?

nein...
Windows64 führt über eine Zwischenschicht (WoW64 -(nein, das heisst nicht World of Warcraft ) ) problemlos auch W32-Code aus... sonst könntest du 99% aller Windowssoftware nicht starten (immer noch fast alles rein 32bit).

 

[Tarantino83]

Also ist mein Win64bit auch sicher gewesen?/QUOTE]

nein...
Windows64 führt über eine Zwischenschicht (WoW64 -(nein, das heisst nicht World of Warcraft ) ) problemlos auch W32-Code aus... sonst könntest du 99% aller Windowssoftware nicht starten (immer noch fast alles rein 32bit).

Ok danke, kenne mich da nicht sooo aus. Dann werd ich wohl doch mal nen Virenscann machen Gemeldet hatte sich gestern nix, ausser der Firefox mit dem Addoninstallieren.



So meine Freundin war so nett und hat AntiVir mal durchlaufen lassen (Volle Prüfung)

Kein Fund,dann kann ich mir auch sicher sein, das nix installiert wurde, oder?

 

[lufink]

.....
Werde wohl im Forum nur noch per iPad surfen...ist wohl sicherer,
wobei ich
.......

Also ehe Ich Ausschlag bekomme, weil ich einen Apple mit seinen Restriktionenen, noch nicht mal nen USB - Anschluß ????, bedienen soll, und

wer noch ohne Sicherheit Surft und an Paranoia leidet, empfehle ich

http://www.chip.de/news/BitBox-Der-sicherste-Browser-der-Welt_48986240.html

Grüße

 

[michaeljk]

So meine Freundin war so nett und hat AntiVir mal durchlaufen lassen (Volle Prüfung)

Kein Fund,dann kann ich mir auch sicher sein, das nix installiert wurde, oder?

Nur darauf alleine würde ich mich nicht verlassen. Ich hatte bereits den Fall, dass ein AntiVir-Update erst nach dem Umlauf von einem Virus veröffentlicht wurde, die betreffenden Systeme waren aber zwischenzeitlich schon infiziert worden. Und im Anschluss meldete AntiVir auch keinen Virus trotz aktueller Definitionsdatei. Im Zweifel also immer einen zweiten Virenscanner mal drüberlaufen lassen (in meinem Fall war es einer von Kaspersky, der dann doch einen Fund meldete).

Also ehe Ich Ausschlag bekomme, weil ich einen Apple mit seinen Restriktionenen, noch nicht mal nen USB - Anschluß ????, bedienen soll, und

Also wie du darauf kommst das Apple-Produkte keinen USB-Anschluss haben ist mir derzeit schleierhaft


Haben die Administratoren denn schon Anhaltspunkte, welche Dateien modifiziert wurden (nur Templates oder auch PHP-Dateien selbst) ? Wenn die Modifikation direkt bei den Scripten auftrat, so könnten jegliche weitere PHP-Datei geändert, hinzugefügt oder gelöscht worden sein. Zudem wäre es dann kein Problem, bestehende Daten des betreffenden Accounts auszulesen (z.B. Konfigurationsdateien mit Kennwörtern zum Zugriff auf die Datenbank).

 

[scorpio]

Auf die Datenbank konnte das Teil nicht zugreifen. Es wurden keinerlei Nutzerdaten ausgespäht.

Betroffen ist immer das yui (yahoo user interface), welches integraler Bestandteil der Boardsoftware ist.

Wie in diesem Thread im vB-Forum zu lesen ist, ist das dslr-Forum nicht das einzige, welches betroffen ist. Bisher ist aber weiterhin nicht klar, wie es überhaupt zur Manipulation kommen kann.

Wir haben gestern Nacht vor der Wiedereröffnung des Forums noch sämtliche uns zur Verfügung stehenden Mittel angewandt, die Sicherheit des Forums zu erhöhen. Mehr geht nicht, ohne das Forum dauerhaft komplett offline zu nehmen.

 

[Tarantino83]

Nur darauf alleine würde ich mich nicht verlassen. Ich hatte bereits den Fall, dass ein AntiVir-Update erst nach dem Umlauf von einem Virus veröffentlicht wurde, die betreffenden Systeme waren aber zwischenzeitlich schon infiziert worden. Und im Anschluss meldete AntiVir auch keinen Virus trotz aktueller Definitionsdatei. Im Zweifel also immer einen zweiten Virenscanner mal drüberlaufen lassen (in meinem Fall war es einer von Kaspersky, der dann doch einen Fund meldete).

Also einfach 2 installieren oder muss ich Antivir dann eben deinstallieren und das drüber? Gibt es keinen online scanner oder so?
Oder kann ich Manuell prüfen ob ich befallen bin? Hab AntiVir geupdatet

 

[Nasus]

Falls Du 2 Installieren möchtest muss einer davon deaktiviert werden - sonst bekriegen die sich regelrecht bzw. produzieren Falschmeldungen. Oder überlasten das System.
Am einfachsten ists aber, eine dieser 'Notfall-CDs' oder einen entsprechenden stick zu nehmen, von dem der Scanner ohne Installation läuft.
Den andren Scanner für den Suchlauf aber dennoch deaktivieren.

 

[AdO089]

@Carsten

wenn du dich so gut auskennst mit IT, wieso hat es dann deinen Rechner zerlegt? Ich kenne mich überhaupt nicht gut aus, und bei mir ist nur kurz ein Fenster aufgebloppt "ein Trojaner hat versucht,..." und seit dem habe ich nie wieder was gehört/gespürt sonst irgendwas. Wer hier fahrlässig gehandelt hat, ist der User, der ohne Schutz im Internet surft.

Mag sein das die Admins mit der Werbung hier ein paar Euro verdienen, aber schonmal überlegt was so ein Server usw. alles kostet?

Wenn die Admins die Koffer packen, dann ist hier Schicht im Schacht, und wir können uns ein neues Board suchen.

Die machen das alles in ihrer Freizeit.
Ich wüsste da besseres an zu fangen....

Selbst unternehmen wie Sony oder Apple, ja selbst die US Regierung wurden schon gehackt. Nur hat man keinen Virus eingeschleust wei landere interessen im Vordergrund standen (finanzielle bzw. Nutzerdaten).

Gruß,
Andi

P.s.

@michaeljk

Welches iPad/Phone hat den einen USB-Anschluss? Ich rede nicht von dem Apple
eigenen Ding!

 

[Thunderclap]

Betroffen ist immer das yui (yahoo user interface), welches integraler Bestandteil der Boardsoftware ist.

d.H. eine Datei vom yui wird manipuliert?
hast du mal den Owner der Datei auf root gesetzt und allen anderen Usern (insbesondere dem Webdaemon) die Schreibrechte entzogen?