Virus durch manipulierte Dateien?

[r.r.]

Das DSLR-Forum wurde heute kurzzeitig mehrere Mal offline geschaltet.
Etliche Nutzer berichteten von Meldungen ihrer Virenscanner, dass in den Webseiten des Forums schädlicher Code gefunden wurde.

Die Virenmeldung wurde durch ein eingebundenes iframe vor dem dslr-forum-Logo ausgelöst.

Die Einbindung dieses iframes wurde nun erfolgreich eliminiert, so dass es zu keinen weiteren Meldungen der Virenscanner kommen sollte.

Wir werden untersuchen, wie es zu der Einbindung kommen konnte. Auch das vBulletin-Team ist bereits seit Gestern darüber informiert.

Wichtig:
Es wurden keine schädlichen Daten zu den Rechnern der Nutzer übertragen, keine Viren oder sonstige Malware. Es wurden keinerlei Daten der Nutzer ausgespäht.


Durch die von uns durchgeführten Sicherheitsmaßnahmen kann es in der nächsten Stunde noch vorkommen, dass die Performance des Forums noch nicht wieder auf dem alten Stand ist und es etwas träge reagiert.
Dafür bitten wir um Entschuldigung und Verständnis!

Es wurden scheinbar doch "schädliche Daten" übertragen.

 

[KDKPhoto]

Hi, Danke, aber tagelang steht auf der Startseite " Neue Beiträge" im Kopf Adminhinweise. Hier gehört eine solche Meldung über Viren oder ähnliches hin wenn es für uns auswirkungen hat und nicht irgendwo unter Support, oder als email an alle. Wichtigeres gibt es ja wohl nicht!

 

[nototious]

Also die IP, die gestern bei dem Angriff auf meinen PC benutzt wurde führt ins Leere, Kiddies sind das wohl nicht. Wäre ich mal gestern schon auf die Idee gekommen...

 

[Redna]

Was ich mich gerade frage: Wenn nicht so klar ist, wie das passieren konnte, wurde dann etwas unternommen um die Sicherheitslücke zu schließen? Oder kann theoretisch das gleiche jeden Moment wieder passieren?

 

[KDKPhoto]

Also die IP, die gestern bei dem Angriff auf meinen PC benutzt wurde führt ins Leere, Kiddies sind das wohl nicht. Wäre ich mal gestern schon auf die Idee gekommen...

Es ist doch völlig egal wer es war, der Hinweis fehlte mit entsprechender Deutlichkeit. Alles Mögliche wird fast per BGB geregelt, aber solch ein Vorfall nicht. Ich war lange genug als Systemverwalter und EDV- Verantwortlicher tätig - mir hätte man den "Kopf" aberissen!

 

[nototious]

Was ich mich gerade frage: Wenn nicht so klar ist, wie das passieren konnte, wurde dann etwas unternommen um die Sicherheitslücke zu schließen? Oder kann theoretisch das gleiche jeden Moment wieder passieren?

Steht ja im Hinweis, dass die betroffenen Dateien durch "unmanipulierte" ersetzt wurden.

 

[KDKPhoto]

Ich hatte auch eine Installationsmeldung auf dem Schirm, habe ich gelöscht und dann sofort den Scanner rüberlaufen lassen - zum Glück ist nicht passiert!
Nochmals : Es muss unabhängig des Themas auf ein solches Problem hingewiesen werden und sofort eine Abschaltung erfolgen, in der dann auf einen Angriff hingewiesen wird und nicht der Nichtsagende Hinweis "wegen dringender Wartungsarbeiten".

 

[Domi1l]

Hi, wäre mal gut wenn ein Admin sich dazu äussert, denn gestern war das Forum "wegen dringender Wartungsarbeiten" nicht erreichbar. Hattet Ihr was auf dem Server?

steht doch in den "Newsticker" der Seite.

Am 15.05.2011 wurde zweimal eine Datei auf unseren Servern von Dritten manipuliert. Das führte dazu, dass Virenscanner der Nutzer einen Angriff meldeten.

Wir konnten die manipulierten Dateien ausfindig machen und gegen unmanipulierte Versionen austauschen. Wie es dazu kommen konnte, wird derzeit in Zusammenarbeit mit dem vBulletin-Team und dem Hoster unserer Server geprüft.



Ich hatte gestern auch diesen sogenannten Virenangriff auf mein Pc, Witzigerweise hab ich zuvor mein Virenscanner deaktiviert weil er auf ein Programm reagiert hat dass kein virus war. Das gute daran war dass der Virus mit Administrationsberechtigung arbeitete und da Windows 7 IMMER frägt ob man wirklich Admin-rechte an das Programm vergeben will sind mehrere Pop ups aufgegangen um software zu instalieren. Da mir sofort klar war um was es sich handelt hab ich sofort mein Virenschutz wieder aktiviert dieser hat die Viren aber nichtmehr erkannt bei mir waren die schädlichen Daten in den Ordner

C:\Users\Euer Nutzername\AppData\Local\Temp

AppData ist ein versteckter Ordner also erst sichtbar machen, die schädlichen Daten hatten bei mir den namen Setup[irgendeinezahl].exe und es waren so 10 stück wenn man firefox schliest und alle "temp" daten löscht dürfte es kein Problem mehr geben.

Das ist natürlich nur möglich wenn euer System noch läuft (vlt über abgesichterten mopdus mal probieren) ?

Viele grüße & viel Glück

 

[Redna]

Steht ja im Hinweis, dass die betroffenen Dateien durch "unmanipulierte" ersetzt wurden.

Das ist mir klar, war aber nicht meine Frage. Irgendwie muss jemand die besagten Dateien ursprünglich ja manipuliert haben. Ein einfaches Wiederherstellen der unmanipulierten Dateien heißt nicht, dass die Sicherheitslücke geschlossen ist, die das Manipulieren erst möglich gemacht hat.

 

[r.r.]

Keine Reparatur möglich bei mir. Auch das Löschen der ci.dll und der Versuch sie über die reparatur wieder herzustellen hat nichts gebracht.

 

[Xin]

1. Aktuellen Virenscanner einsetzen

Ja? Mein NOD32 ist aktuell und hat die Datei nicht gemeldet. Gut, mag vielleicht auch daran liegen das der Firefox bisher nur gemeldet hat, dass ein Plugin fehlen würde und ich die Installation nicht erlaubt habe.

Sind die Dateien noch beim Admin? Wenn ja, vielleicht einmal an alle Antivirenhersteller senden? Nicht das die Dateien nachher noch bei einem unerkannt bleiben.

 

[KDKPhoto]

steht doch in den "Newsticker" der Seite.



C:\Users\Euer Nutzername\AppData\Local\Temp

AppData ist ein versteckter Ordner also erst sichtbar machen, die schädlichen Daten hatten bei mir den namen Setup[irgendeinezahl].exe und es waren so 10 stück wenn man firefox schliest und alle "temp" daten löscht dürfte es kein Problem mehr geben.


Viele grüße & viel Glück

Hi, die Datei fing mit der numerr : 12345678 an. Ausserdem bitte keinoe Entschuldigungen für die Systemverwaltung - das war unprofessionel!

 

[saiboT]

So..mich hat es auch erwischt. Aus heiterem Himmel quasi. DSLR-Forum geöffnet, Avira hat leider nichts bemerkt, ein kurzer Hinweis von Windows 7 "Schafhafte Software erkannt"...reboot...Windows will nichtmehr. Win7 Systemstartreparatur bringts nix. Avira Rescue-CD scan liefert nix, Kaspersky hat einen win32.tdss.mbr im Master Boot Record gefunden. MBR also defekt, deswegen mag Windows auch nichmehr. Klasse Sache

Und übrigens alle Windows7 Updates drauf, aktuelles Avira, aktueller Firefox.
Zugegebenermaßen im Adminkonto unterwegs..
Dass Avira garnichts bemerkt hat und auch beim Scan hinterher nix findet erschüttert mich schon etwas. Werde bei der Gelegenheit wohl auf Kaspersky umsteigen, jetzt ist sowieso eine Neuinstallation fällig.

 

[KDKPhoto]

Keine Reparatur möglich bei mir. Auch das Löschen der ci.dll und der Versuch sie über die reparatur wieder herzustellen hat nichts gebracht.

Es wäre langsam zeit, seitens des Systemverwaltung, Reparaturhinweise zu geben damit Betroffene nicht allein dastehen. Verantwortung übernehmen!

 

[r.r.]

So..mich hat es auch erwischt. Aus heiterem Himmel quasi. DSLR-Forum geöffnet, Avira hat leider nichts bemerkt, ein kurzer Hinweis von Windows 7 "Schafhafte Software erkannt"...reboot...Windows will nichtmehr. Win7 Systemstartreparatur bringts nix. Avira Rescue-CD scan liefert nix, Kaspersky hat einen win32.tdss.mbr im Master Boot Record gefunden. MBR also defekt, deswegen mag Windows auch nichmehr. Klasse Sache

Und übrigens alle Windows7 Updates drauf, aktuelles Avira, aktueller Firefox.
Zugegebenermaßen im Adminkonto unterwegs..
Dass Avira garnichts bemerkt hat und auch beim Scan hinterher nix findet erschüttert mich schon etwas. Werde bei der Gelegenheit wohl auf Kaspersky umsteigen, jetzt ist sowieso eine Neuinstallation fällig.

1:1 wie bei mir.

 

[Xin]

Das war jetzt das zweite mal innerhalb kurzer Zeit oder? Schon mal die Passwörter beim FTP etc. geändert? Haben die Admins mal vorsichtshalber ihre Systeme neuinstalliert?

Aktuell ist auch vBulletin 4.0 oder?

Kann mir mal jemand, bei dem die Schadsoftware erkannt wurde, den Namen hier posten?

 

[r.r.]

Es wäre landsam zeit, seitens des Systemverwaltung, Reparaturhinweise zu geben damit Betroffene nicht allein dastehen. Verantwortung übernehmen!

Das wäre glaube ich nicht zuviel verlangt! Wenn ich schon daran denke welcher Höllenaufwand mir und und anderen Betroffenen bevor steht...

 

[KDKPhoto]

Man sieht ja, bis jetzt hat sich kein Admin geäussert - schwache Leistung. Aber vielleicht passiert ja heute noch mal was. Es gibt keinen schwereren Vorfall als einen Angriff für die Forumsbetreiber. Warum ist die Reaktion dann so schwach?

 

[scorpio]

Auf die Datenbank konnte das Teil nicht zugreifen. Es wurden keinerlei Nutzerdaten ausgespäht.

Betroffen ist immer das yui (yahoo user interface), welches integraler Bestandteil der Boardsoftware ist.

Wie in diesem Thread im vB-Forum zu lesen ist, ist das dslr-Forum nicht das einzige, welches betroffen ist. Bisher ist aber weiterhin nicht klar, wie es überhaupt zur Manipulation kommen kann.

Wir haben gestern Nacht vor der Wiedereröffnung des Forums noch sämtliche uns zur Verfügung stehenden Mittel angewandt, die Sicherheit des Forums zu erhöhen. Mehr geht nicht, ohne das Forum dauerhaft komplett offline zu nehmen.

Im Übrigen war gestern während der Schließung des Forums ein eindeutiger Hinweis zu lesen (nicht der weiter vorn zitierte) und auch jetzt ist ein Hinweis für alle Nutzer oben zu lesen.

 

[r.r.]

Das hilft aber keinen Betroffenen.