Virus durch manipulierte Dateien?

[azelon]

Ich war Gestern Abend auch auf dslr-forum.de.

Norton Internet Security hat sofort Meldung gemacht und das Problem behoben. Es Gab keine weiteren Probleme.
Das ist der Grund warum ich ich keinen gratis Virenschutz Nutze.
Habe Firefox immer Aktuell ebenso Win7 und Norton Internet Security.

 

[Georgius]

würde mir detailierte Angaben über die Komprmitierung ... wünschen.

Der Betreiber auch

 

[IcheBins]

Ja, ich habe Opera 11 (neuste Version), mit Win 7 auch alle Update in meinem Temp Verzeichnis findet sich eine setup5421621342.exe welche gester mit einem PopUp welche ein nachgemachtes Java Fensterchen war irgendwas installieren wollte.

Auf meinem Firmennotebook mit gleicher SW-Ausstattung war ich am gestrigen Sonntag zumindest visuell (PopUp etc.) nicht betroffen - JavaScript war übrigens bis gestern Abend noch aktiviert. Auch der wöchentliche Scan am gestrigen Abend hat in keiner Scanner-Meldung resultiert. Allerdings habe ich nach besagter Setup-Datei bisher nicht explizit gesucht.

Ich werde ab heute Abend beobachten, wie sich das auf meiner privaten Maschine verhält (bis auf AV-Scanner gleicher SW-Stack).


Grüße,
IcheBins

 

[4zap]

http://www.vbulletin.com/forum/showthread.php/372307-My-site-keeps-getting-hacked-!

Vielen Dank Scorpio für die schnelle Reaktion.

(und ein großes Lob an dich als Admin! Super Arbeit).....von admin zu admin.

 

[KDKPhoto]

Vielen Dank Scorpio für die schnelle Reaktion.

(und ein großes Lob an dich als Admin! Super Arbeit).....von admin zu admin.

Das musste doch mal gesagt werden! Oder ?

 

[coppy]

http://www.vbulletin.com/forum/showthread.php/372307-My-site-keeps-getting-hacked-!

Wäre es nicht eurerseits angebracht, dort eure Probleme darzulegen? Ihr zahlt Lizenzen für die Software, bekommt dafür Support bereitgestellt und ausgerechnet in so einer Situation bleibt für euch nur das Verschicken von Links als Endstation?
Je mehr Administratoren dort über bestimmte Probleme (gezielt mit Angabe aller Versionen, Add-Ins etc.) berichten, desto eher kann man vielleicht dem Problem auf die Spur kommen.

Einfaches Verweisen nach dem Motto "die anderen finden auch nichts, da können wir nichts tun" ist schlicht falsch.

 

[Torsten_HB]

Wäre es nicht eurerseits angebracht, dort eure Probleme darzulegen? Ihr zahlt Lizenzen für die Software, bekommt dafür Support bereitgestellt und ausgerechnet in so einer Situation bleibt für euch nur das Verschicken von Links als Endstation?
Je mehr Administratoren dort über bestimmte Probleme (gezielt mit Angabe aller Versionen, Add-Ins etc.) berichten, desto eher kann man vielleicht dem Problem auf die Spur kommen.

Einfaches Verweisen nach dem Motto "die anderen finden auch nichts, da können wir nichts tun" ist schlicht falsch.

Er hat sich doch längst an den Support von vB gewandt. Nur die stehen seit 5 Monaten ebenso im Nebel. Mehr kann er halt auch nicht machen....

 

[Redna]

Ich gehe fest davon aus, dass da Kontakt zum Hersteller besteht...das geht schließlich auch anderweitig als in deren Forum...

 

[scorpio]

Wäre es nicht eurerseits angebracht, dort eure Probleme darzulegen? Ihr zahlt Lizenzen für die Software, bekommt dafür Support bereitgestellt und ausgerechnet in so einer Situation bleibt für euch nur das Verschicken von Links als Endstation?
Je mehr Administratoren dort über bestimmte Probleme (gezielt mit Angabe aller Versionen, Add-Ins etc.) berichten, desto eher kann man vielleicht dem Problem auf die Spur kommen.

Einfaches Verweisen nach dem Motto "die anderen finden auch nichts, da können wir nichts tun" ist schlicht falsch.

Das vBulletin-Team wurde von uns bereits persönlich kontaktiert. Im Hinweis oben auf der Startseite steht auch, dass wir mit ihnen zusammenarbeiten, um die Schwachstelle zu finden.

 

[Gast_54389]

mein linux rechner hat den gestrigen abend überstanden

mein osx rechner auch

 

[nototious]

mein osx rechner auch

Man zahlt ja auch nicht umsonst biz zu 20.000 Eusen für 'nen Mac Pro

 

[Xin]

So, dank den Kaspersky Logs die hier einige gepostet haben konnte ich den Virus an Eset(Hersteller NOD32) melden. Die haben mir auch sehr schnell geantwortet, dass sie ihn in die Datenbank aufnehmen.

Vielleicht kann der eine oder andere das auch mal weitergeben, bei dem der Virenscanner leider nicht angeschlagen hat.

 

[ullid]

Ich war Gestern Abend auch auf dslr-forum.de.

Norton Internet Security hat sofort Meldung gemacht und das Problem behoben. Es Gab keine weiteren Probleme.
Das ist der Grund warum ich ich keinen gratis Virenschutz Nutze.

War bei mir mit meinem gratis AntiVir auch nicht anderst. Das ist der Grund wieso mit Gratisschutz reicht.

 

[Fruchtzwergemutta]

Um den Webserver sicher zu machen, sollte als erstes folgende Einstellungen vorgenommen werden:

http://www.xtc-modified.org/wiki/PHP.ini_Sicherheitsrelevante_Variablen

Dann kann man schonmal keine Dateien einfach so hochladen und verändern.

Um herauszufinden ob es eine Datenbankschwäche auf dem Server gibt, muss man die Webserver-Zugriffs-Logs nach folgenden Befehlen durchsuchen: SELECT, UPDATE, INSERT. Wenn eins davon auftaucht, gibt es bei VB noch eine Möglichkeit über Datenbankbefehle die Seite zu ändern.

 

[IcheBins]

Um den Webserver sicher zu machen, sollte als erstes folgende Einstellungen vorgenommen werden:
......

Ich nehme an, dass der in diesem Thread diskutierte (neue?) Malware-Verbreitungsweg nicht auf einer banalen PHP-Fehlkonfiguration beruht.


Grüße,
IcheBins

 

[Torsten_HB]

Ich nehme an, dass der in diesem Thread diskutierte (neue?) Malware-Verbreitungsweg nicht auf einer banalen PHP-Fehlkonfiguration beruht.

Eben. Wäre das so, dann würden die Programmierer von vB nicht seit 5 Monaten ratlos sein

 

[Fruchtzwergemutta]

Wenn das ausgeschlossen werden kann, dann kann es nur noch sein, dass durch einen anderen Trojaner auf dem Admin-Client-PC die FTP-Logindaten ausgelesen wurden, denn anders ist eine Dateimanipulation nicht möglich.

 

[pgs]

Stand der Dinge ist also, dass in vbulletin eine Sicherheitslücke existiert, die es einem Angreifer ermöglicht, Schadsoftware zu verteilen und dass diese Sicherheitslücke noch nicht gefixt wurde; ferner, dass Jelsoft noch im Dunkeln tappt?

mfg, pgs

 

[Fruchtzwergemutta]

Stand der Dinge ist also, dass in vbulletin eine Sicherheitslücke existiert, die es einem Angreifer ermöglicht, Schadsoftware zu verteilen und dass diese Sicherheitslücke noch nicht gefixt wurde; ferner, dass Jelsoft noch im Dunkeln tappt?

mfg, pgs

In VBulletin selbst muss es keine Lücke geben. Forenbetreiber können aber Plugins von Drittanbietern installieren. Diese haben dann in der Regel eine solche Sicherheitslücke, weil sie meistens von Programmierern stammen, die nicht mal PHP richtig buchstabieren können.

 

[Torsten_HB]

In VBulletin selbst muss es keine Lücke geben. Forenbetreiber können aber Plugins von Drittanbietern installieren. Diese haben dann in der Regel eine solche Sicherheitslücke, weil sie meistens von Programmierern stammen, die nicht mal PHP richtig buchstabieren können.

Mag sein, aber es gibt auch Betreiber, die nur das nackte vB ohne Änderungen laufen lassen und diese Probleme haben.

Natürlich ist nicht auszuschließen, dass darunter auch Opfer eines Trojaners zu finden sind, die die FTP-Zugangsdaten abgegriffen haben. Allerdings gibt es auch Berichte, wonach selbst nach Säuberung des Servers und Änderung des PW noch erfolgreich Angriffe erfolgten.....