Virus durch manipulierte Dateien?

[ullid]

Das wäre in der Tat eine Lösung, die 100% sicher ist. Was aber die anderen Forenbetreiber, die vbulletin verwenden, auch machen müssten.

Am besten schalten wir alle unsere Computer aus, dann sind wir sicher gegen Viren. Denn eines ist sicher und zwar das Windows immer noch Sicherheitslücken hat, egal ob die jetzt bekannnt sind oder nicht.

 

[detwaxy]

Warum denn das bitte? Wer so eine Panik hat, der macht doch sicher ständige Updates. Und keiner ist gezwungen, sich in vbulletin-Foren aufzuhalten. Jeder User weiß jetzt Bescheid - wo ist das Problem? Man kann auch überdramatisieren.

mfg, pgs

weil ich nur die 08/15 ahnung von pcs hab... backups gibt es natürlich (muss ich mich bei einem forum nur drum kümmern und das ist ganz frisch zum leben erweckt, da sind noch alle postings von mir) aber trotzdem brauch ich den stress nicht

 

[acahaya]

Das wäre in der Tat eine Lösung, die 100% sicher ist. Was aber die anderen Forenbetreiber, die vbulletin verwenden, auch machen müssten.
Gerade deswegen wäre es eine gar nicht mal so schlechte Lösung. Mir ist klar, dass sie nicht praktikabel ist, aber es wäre eine gute Lösung.

Auf diese Weise findet man das Schlupfloch aber auch nicht, man legt nur jede Menge Foren lahm.

Was würdest du machen, wenn jeden Tag ein Auto einer bestimmten Baureihe in die Luft fliegt, der Hersteller aber nicht sagen könnte, woran es liegt? Würdest du damit weiterfahren?

das ist ein ziemlich dramatischer Vergleich

Wenn mir jemand sagt, dass das unter Garantie nicht passiert, wenn ich nur bestimmtes Benzin tanke, nicht bei Rot über die Ampel fahre und alle 200km eine Pause von 5 Minuten mache, würde ich das Auto verwenden ... wenn es unbedingt sein muss.
So krass ist die Situation hier aber gar nicht. Selbst wenn die Forensoftware oder der Server gehackt sind, kann man den eigenen Rechner vermutlich so konfigurieren, dass man für diesen speziellen Fall gewappnet ist. Es gibt ja genügend User, bei denen die Sicherheitsmaßnahmen gegriffen haben.

Natürlich will das keiner. Im aller-, aller-, allerschlimmsten Falle müsste man halt mit einer anderen Software von neu anfangen. Und bei einer Migration auf eine andere Software hätte man im laufenden Betrieb wohl eine arge Baustelle mit vielen Komforteinschränkungen.

Das würde dann Sinn machen, wenn das Problem eindeutig auf einem nicht behebbaren Fehler in der derzeit verwendeten Forensoftware basiert. Das ist aber nicht gesagt. Und es ist auch nicht auszuschliessen, dass andere Forensoftware nicht ähnliche Lücken hat. Es gibt keine fehlerfreie Software, wenn man lange genug sucht, findet man immer was

Mein Vorschlag, hier gemeinsam ein paar möglichst sichere PC Konfigurationen zu erarbeiten, mit denen man das Forum weiterhin nutzen kann, ist natürlich nur ein pragmatischer Workaround. Er erlaubt aber eine gründliche Diagnose des eigentlichen Problems, die dann hoffentlich irgendwann auch zu dessen Beseitigung führt.

Lest Euch mal den von Scorpio verlinkten Thread im vBulletin Supportforum durch. Es ist ja nicht so, dass man da keine Ursachenforschung betreibt, nur ist es seit Februar nicht gelungen, die Nadel im Heuhaufen zu finden. Und wenn man jetzt alle vB betriebenen Foren stillegt, wird man das auch nie schaffen.

 

[IcheBins]

Es gibt keine Exploits, die diese Einstellungen aushebeln können. Sonst wären es ja keine Sicherheitseinstellungen.

Solche Annahmen, oder nenne es Regeln oder gar Gesetze, gelten genau so lange, bis sie teilweise oder vollständig widerlegt werden.
Eine derartige Widerlegung kann selbstverständlich auch in Form eines Exploits erfolgen.


Grüße,
IcheBins

 

[Siko]

vor zwei Wochen haben schonmal einige User plötzlich Trojaner auf ihren Rechnern gehabt. Wenn diese User nun plötzlich wieder infiziert wurden, wahrscheinlich auch noch nach einem kompletten Neuaufsetzen des Systems, dann werden die in Zukunft einen weiten Bogen um dieses Forum machen.

 

[das_tanzende_ES]

Du meinst weil die User dann seit damals nicht dazu gelernt haben?

Scorpio/Dem Forum kann man hier wirklich keinen Vorwurf machen. Weder hat er seinen eigenen Server korruptiert, noch ist der Coder von vBulletin, noch ist er für die Sicherheit auf unseren PCs verantwortlich.

Wie oft willst du eigentlich noch schreiben, dass du dann gehst?

 

[detwaxy]

vor zwei Wochen haben schonmal einige User plötzlich Trojaner auf ihren Rechnern gehabt. Wenn diese User nun plötzlich wieder infiziert wurden, wahrscheinlich auch noch nach einem kompletten Neuaufsetzen des Systems, dann werden die in Zukunft einen weiten Bogen um dieses Forum machen.

vor 2 wochen war ich nciht betroffen.... aber neu aufsetzen macht ja immer mal wieder sinn...

 

[IcheBins]

Wenn diese User nun plötzlich wieder infiziert wurden, wahrscheinlich auch noch nach einem kompletten Neuaufsetzen des Systems, dann werden die in Zukunft einen weiten Bogen um dieses Forum machen.

Das kann ich vollkommen nachvollziehen. Vor dem Hintergrund, dass Web-Security abseits aller technischen Ansatzpunkte zu einem wesentlichen Anteil eine Funktion des Surf-Vehrhaltens ist, würde ich das sogar erwarten. Sinnvollerweise sollte dieses Moratorium dann b.a.w. für alle vBulletin-basierten Foren gelten.


Grüß,
IcheBins

 

[knipskurt]

Ich bin in meiner Meinung zur Sache hin und her gerissen... mich hats ja gestern auch getroffen.
Es sind nicht alles die Top-Experten, die sich im Internet in den Foren tummeln. Meist sind es ganz normale User, die dann von den "Experten" als Daus bezeichnet werden. Dabei ist das Internet ja anders als früher eine Sache für die gesamte Breite der Bevölkerung.
Also sollte es möglich sein, ebenfalls anders als früher auch ohne spezielle Sachkenntisse klar zu kommen. Man muss keine Fachausdrücke aus dem FF kennen und irgendwelche technischen Maßnamen ausführen können, wie sie hier sooft als Mindestmaß zum sicheren Surfen beschrieben werden. Auch der ganz normale User soll klar kommen können. Dafür gibt es automatische SW-Updates und grundlegende Verhaltensweisen.
Das Internet ist gefährlich, das bekommt man ja in den Medien täglich mit.
Auch große Unternehmen sind gefährdet, wie man täglich liest.
Jetzt mit schlauen Sprüchen auf ein Forum wegen versäumter Sicherheitsmaßnahmen mit Schuldzuweisungen rumzuhacken ist nicht richtig.
Ärgerlich ist das Ganze, aber Schuld hat in meinen Augen weder der Betreiber der Seite noch der User, der nicht über die Sachkenntnisse verfügt.
Es sind kriminelle Machenschaften, gegen die man sich mit der entsprechenden aktuellen SW und grundlegenden Verhaltensweisen schützen können muss.

 

[islander]

Es sind nicht alles die Top-Experten, die sich im Internet in den Foren tummeln. Meist sind es ganz normale User, die ...

Moin!
... so wie ich,
keine Ahnung,
XP SP3,
IE 8,
Avira Antivir Premium
und [bisher]
keine Probleme
haben.

mfg hans

 

[Crushinator]

[...] Mein Vorschlag, hier gemeinsam ein paar möglichst sichere PC Konfigurationen zu erarbeiten, mit denen man das Forum weiterhin nutzen kann, ist natürlich nur ein pragmatischer Workaround. Er erlaubt aber eine gründliche Diagnose des eigentlichen Problems, die dann hoffentlich irgendwann auch zu dessen Beseitigung führt. [...]

Die sicherstmögliche PC-Konfiguration für Normalsterbliche erhält man m.M.n. wie folgt:

(nach Priorität sortiert)

1. JavaScript im Browser deaktivieren (brutale Methode) bzw. FF mit NoScript-Plugin verwenden und Websites, wenn es gar nicht anders geht, einzeln mit einem Click temporär freigeben. (weniger brutal)
2. am PC nur mit Userrechten arbeiten und Adminrechte nur bei Bedarf anfordern. Wenn sich unaufgefordert Installationsfenster oder Adminrechteanforderungen für eine Installation öffnen, auf keinen Fall weiter machen lassen, sondern abbrechen und der Ursache auf den Grund gehen bzw. gehen lassen.
3. Systemfirewall eingeschaltet lassen; nur Anwendungen freigeben, bei den es wirklich Sinn ergibt.
4. System und Virenschutz möglichst aktuell halten.

Die Sache hat aber einen Haken: Punkt 1 geht mit recht großem Komfortverlust beim Surfen einher. Aber hey: NoScript ist bei mir seit 2007 per Default auch auf DSLR-Forum aktiv, ich nutze zum Posten in vB-Foren grundsätzlich den Plaintext-Editor und bin weder gestorben, noch habe ich irgendeinen Foreninhalt verpasst.

Die restlichen Punkte kosten kaum (bzw. keinen) Komfort und sind heutzutage, gerade von PC-Nutzern ohne tiefgründiges Spezialwissen, ohne Wenn und Aber zu befolgen!

 

[Gast_83543]

Dabei ist das Internet ja anders als früher eine Sache für die gesamte Breite der Bevölkerung.
Also sollte es möglich sein, ebenfalls anders als früher auch ohne spezielle Sachkenntisse klar zu kommen. Man muss keine Fachausdrücke aus dem FF kennen und irgendwelche technischen Maßnamen ausführen können, wie sie hier sooft als Mindestmaß zum sicheren Surfen beschrieben werden. Auch der ganz normale User soll klar kommen können. Dafür gibt es automatische SW-Updates und grundlegende Verhaltensweisen.

Sehe ich nicht so. Computer sind kompliziert und ziemlich umfangreich. Ohne sich da einigermaßen auszukennen hat man keine Chance. Nur halten sich halt viele für einen Experten. Wie soll man es auch in seiner begrenzten Sichtweise anders sehen? Und vieles ist einfach auch Faulheit. Viele wollen sich z.B keine Passwörter merken. Der PC ist dann offen wie ein Scheunentor. Und den meisten ist es einfach egal, ob da ein Virus auf dem PC ist und diesen als Zombie nutzt. Solange der PC noch läuft.

Ein PC ist nicht einfach. Ein PC funktioniert nicht einfach so. Die Meisten hier fordern von Neulingen, das Handbuch von einer Kamera zu lesen. Und wie viel simpler ist eine DSRL im Vergleich zu einem PC? Und da soll man keine Handbücher lesen und lernen, wie ein PC funktioniert und wie man damit umgeht?

JavaScript ist bei mir übrigens auch aus. Bitte nun keiner mehr fragen, warum, ok?

 

[alberto1966]

Auch mich hat es gestern Abend erwischt , konnte mir aber eine Neuinstallation sparen.

Windowsmeldung "schadhafte Software erkannt“, auf Entfernen gedrückt, dann hat der Rechner neu gestartet und verabschiedete sich nach kurzer Zeit mit einem Bluescreen um erneut zu booten. Und das lief dann immer so weiter.

Abgesicherter Modus war ohne Absturz möglich.

Avira hat übrigens während dessen nicht angeschlagen.

Heute Morgen dann im abgesicherten Modus mal kurz Avira laufen lassen und siehe da:

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[FUND] Enthält Code des Bootsektorvirus BOO/TDss.M
[HINWEIS] Der Sektor wurde nicht neu geschrieben!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[FUND] Enthält Code des Bootsektorvirus BOO/TDss.M
[HINWEIS] Der Sektor wurde nicht neu geschrieben!
Bootsektor 'D:\'
[FUND] Enthält Code des Bootsektorvirus BOO/TDss.M
[HINWEIS] Der Sektor wurde nicht neu geschrieben!


Meine Lösung des Problems:

Rechner mit Notfall-CD (Linux glaube ich) von Computer-Bild gestartet.
MBR (Master Boot Record) neu geschrieben und jetzt läuft er wieder.
Internetcache mit CC-Cleaner gelöscht.

Eben Systemprüfung mit Avira Antivir Personal laufen lassen und keine Einträge mehr gefunden.

System:
Windows 7 32bit mit aktuellen Updates
IE 9
Hardwarefirewall (Router)
Windows Firewall
Avira Antivir Personal mit täglichem aktuellen Update

Und den „Dringenden Sicherheitshinweis“ : „den eigenen Rechner mit einem aktuellen Anti-Virenprogramm zu scannen und grundsätzlich nur mit aktueller Anti-Virensoftware und aktuell gehaltener Software mit neusten Sicherheitsupdates im Internet unterwegs zu sein“ ist für mich selbstverständlich, hat aber in diesem Falle nicht wirklich geholfen.

Hoffe nur, dass das offensichtliche Sicherheitsproblem der Forensoftware bald behoben ist.

 

[Gast_83543]

Und den „Dringenden Sicherheitshinweis“ : „den eigenen Rechner mit einem aktuellen Anti-Virenprogramm zu scannen und grundsätzlich nur mit aktueller Anti-Virensoftware und aktuell gehaltener Software mit neusten Sicherheitsupdates im Internet unterwegs zu sein“ ist für mich selbstverständlich, hat aber in diesem Falle nicht wirklich geholfen.

Ohne Admin-Rechte kann der MBR gar nicht verändert werden (außer Sicherheitslücke). Und mit Adminrechten kannst dir das Virenprogramm auch sparen.

http://technet.microsoft.com/en-gb/library/cc512587.aspx

http://winsicherheit.funpic.de/

 

[S-Bahn]

:

1. JavaScript im Browser deaktivieren (brutale Methode) bzw. FF mit NoScript-Plugin verwenden und Websites, wenn es gar nicht anders geht, einzeln mit einem Click temporär freigeben. (weniger brutal)
2. sich am PC nur mit Userrechten arbeiten und Adminrechte nur bei Bedarf anfordern. Wenn sich unaufgefordert Installationsfenster oder Adminrechteanforderungen für eine Installation öffnen, auf keinen Fall weiter machen lassen, sondern der Ursache auf den Grund gehen bzw. gehen lassen.
3. Systemfirewall eingeschaltet lassen; nur Anwendungen freigeben, bei den es wirklich Sinn ergibt.
4. System und Virenschutz möglichst aktuell halten.

:

rate mal, wie viele prozent der pc-user jetzt wissen, was zu tun tun haben/hätten? ich schätze mal, dass über 80% davon genau kein wort verstehen! so wie die meisten leute nie in der lage waren, einen videorecorder im voraus zu programmieren, genauso viel verständnis bringen die für eine kiste wie den pc auf.

---------

eines finde ich aber wirklich jetzt schon ärgerlich: jetzt wurde schon 3x gefragt (mich eingeschlossen), zu welcher uhrzeit das problem bestanden hat. also wann etwa wurden die dateien manipuliert und wann wurde mit der reparatur begonnen.

ich bin nicht rund um die uhr hier online, und von daher kann ich derzeit nicht abschätzen, ob ich nur deswegen nicht betroffen bin von der misere, weil ich zufälliger weise nicht online war ... oder weil meine sicherheitseinstellungen am pc das eindringen des schädlings verhindert hat.

hier könnte der betreiber schön langsam doch eine antwort geben, wie ich finde.

 

[detwaxy]

es ging um gestern nachmittag. ich weiß grade nicht genau - aber so zwsichen 14 und 16 uhr würde ich schätzen.
danach war ja das forum down.

(ist jetzt aber auch mit lücken behaftet und geschätzt)

 

[IcheBins]

eines finde ich aber wirklich jetzt schon ärgerlich: jetzt wurde schon 3x gefragt (mich eingeschlossen), zu welcher uhrzeit das problem bestanden hat. also wann etwa wurden die dateien manipuliert ....

Nach meinem bisherigen Verständnis hat sich in keinem der Server- oder sonstig in Frage kommenden Standard-Logs ein Hinweis auf den konkreten Angriffsbeginn oder -weg ergeben.

Falls dies zutrifft, und das Server-Filesystem darüberhinaus über keine (manipulationssicheren) Journalfunktion verfügt, wird der tatsächliche Angriffsbeginn direkt wohl unermittelbar bleiben.

Edit: Welche konkrete Nachverfolgungsmöglichkeiten die Aufzeichnungen der Netzprovider eröffnen, entzieht sich meiner Kenntnis.


Grüße,
IcheBins

 

[Thunderclap]

ich bin nicht rund um die uhr hier online, und von daher kann ich derzeit nicht abschätzen, ob ich nur deswegen nicht betroffen bin von der misere, weil ich zufälliger weise nicht online war ... oder weil meine sicherheitseinstellungen am pc das eindringen des schädlings verhindert hat.

Ich bezweifle dass Scorpio exakt weiss wann das ganze begonnen hat... Wann die ersten Meldungen von Usern kamen wirst du ja wohl im entsprechenden Thread nachsehen können, oder?

Geh auf Nummer sicher, lad dir ein Rescue-Image herunter und scan deinen PC...

Und wenn du wissen willst wie du dein Benutzerkonto auf eingeschränkte Rechte umstellst oder wie du Javascript deaktivierst, wird dir ganz sicher die Windows Hilfefunktion, die Onlinehilfe deines Browsers oder im Zweifelsfall Google verraten...

Die Zunehmende Unselbständigkeit der User ist das weit grössere Problem als dass viele ihren PC angeblich nicht verstehen...
Wenn ich Auto fahre, dann weiss ich doch auch wo ich den Ölstand kontrolliere, auch wenn ich kein Mechaniker bin...

 

[Crushinator]

rate mal, wie viele prozent der pc-user jetzt wissen, was zu tun tun haben/hätten? ich schätze mal, dass über 80% davon genau kein wort verstehen! so wie die meisten leute nie in der lage waren, einen videorecorder im voraus zu programmieren, genauso viel verständnis bringen die für eine kiste wie den pc auf. [...]

Huch? Wenn mich das nicht täuscht, dürfte sich jedes einzelne, nicht verstandene Wort gleich mit den ersten Suchergebnissen bei Google wunderbar erklären lassen.

 

[alberto1966]

Ohne Admin-Rechte kann der MBR gar nicht verändert werden (außer Sicherheitslücke). Und mit Adminrechten kannst dir das Virenprogramm auch sparen.[/url]

Ja, ist bekannt, trotzdem danke für den Hinweis.