• Neuer Gutscheincode unseres Partners Schutzfolien24:
    DSLR-Forum2025
    Dauerhaft 10% Rabatt auf alle Displayschutzfolien und Schutzgläser der Eigenmarken
    "Upscreen", "Screenleaf", BROTECT" und "Savvies".
    Der Code ist für alle Geräteklassen gültig.
  • Mitmachen beim DSLR-Forum Fotowettbewerb Mai 2025.
    Thema: "Zweckentfremdet"
    Jeden Monat attraktive Gewinnprämien, gesponsert von unserem Partner PixelfotoExpress.
    Alle Infos zum Juni-Wettbewerb hier!

  • In eigener Sache!

    Liebe Mitglieder, liebe Besucher und Gäste
    ich weiß, es ist ein leidiges Thema, aber ich muss es ansprechen: Werbung, Werbeblocker und Finanzierung des Forums.
    Bitte hier weiterlesen ...

  • Nicht erreichbare Adressen im Benutzerkonto
    Wir bekommen zurzeit eine große Anzahl an E-Mails, die das System zum Beispiel als Benachrichtigungen an Nutzer verschickt,
    als unzustellbar zurück, weil z.B. die Adressen nicht erreichbar sind oder das Postfach gar nicht existiert.
    Stellt doch bitte sicher, dass die Benachrichtigungen, die ihr vom System erwartet, auch zugestellt werden können.
    Nicht erreichbare E-Mail-Adressen sind dazu wenig hilfreich.
    Danke!
WERBUNG

wieder iframe attacke.....

Status
Für weitere Antworten geschlossen.
Cimba schrieb:
War Showscript jetzt der eigentliche Schadcode, oder war im Showscript wieder ein Iframe?
Zum Vergrößern anklicken....

Ich hab es gestern eindeutig als iFrame Einbindung identifiziert. Wer in den Quelltext schaute konnte auch sehen von woher was eingebunden werden sollte. Da ich hier tagsüber in einer absoluten Sicherheitsumgebung sitze kann meinem Rechner nix passieren aber es läuten alle Alarmglocken. Ich bin hier in dem Laden auch für die Onlien Forensik zuständig daher seh ich sowas sofort.
Der iFrame war m. E. nur ein oder zwei Minuten aktiv. Danach war die Einbindung wieder verschwunden und alles lief wieder normal.
 
Georgius schrieb:
Kannst Du uns sagen wie so eine "absoluten Sicherheitsumgebung" aussieht.
Zum Vergrößern anklicken....

Ich sitze in der Firma nicht direkt am Internet. Dazwischen versteckt sich eine DMZ (demilitarisierte Zone) zwischen zwei Hardwarefirewalls in der Internet Accelaration Server den Internetverker im Vorfeld schon auf schadhaften Code, Viren und sonst. Gesockse kümmert und abblockt. Das betrifft den HTTP Verkehr wie auch Emails etc. Dann erst landen die Datenpakete in internen Netzwerk.

Aktive Scriptsprachen wie Javascript, Flash sind deaktiviert. Java hab ich eh nirgends installiert. Also die üblichen Einfallstore für Malware und ähnliches sind bei uns nicht vorhanden.

Meistens sitze ich sogar noch vor einem virtuellen Rechner die in irgendeiner MS oder Linux Umgebung laufen. Selbst wenn sich dort etwas einnistet juckt mich das nicht. Nach einem Neustart ist alles wieder beim alten dank Snapshots, d.h. das System wird immer mit best. Parametern gestartet und wird nicht verändert. Neustart und alles is wieder beim Alten.

Zum Großteil laufen hier nur Microsoft spezifische Lösungen und Umgebungen, die sich für den privaten Bereich nicht lohnen würden. So ein Struktur frisst mal schnell einige tausend Euro auf.

Aber privat verzichte ich auch auf Flashplayer (nur bei Bedarf an) und Javascript. Dadurch werden Webseiten oft falsch dargestellt, aber lieber falsch als böse;)


.... IDS und IPS (Intrusion Detection) läuft auch noch mittedrin.....


das Hauptproblem bei sowas liegt meist auf OSI Layer 8 ;)
 
Zuletzt bearbeitet:
Das Problem ist, dass man oftmals ohne die Scriptsprachen aufgeschmissen ist. Selbst dieses Forum hier läuft nur halb, wenn man Noscript anlässt. Smilies einfügen ist z.B. nicht drin - und stattdessen, dass man ein Tooltip angezeigt bekommt wenn man mit der Maus drüber fährt wie die entsprechenden "Codes" sind, sehe ich nur Umschreibungen mit nicht umgewandelten Umlauten. Nein, ich kann die Dinger nicht auswendig...
 
Blumeundbiene schrieb:
Das Problem ist, dass man oftmals ohne die Scriptsprachen aufgeschmissen ist.
Zum Vergrößern anklicken....

Ja, so ist das leider. Ich habe bei mir praktisch nur JavaScript, Flash und Shockwave aber kein Java. Dazu verwende ich als Browser Opera, bei dem man sehr Vieles abschalten kann. Das geht so einigermaßen. Es gibt allerdings nach wie vor etliche Websites, bei denen die Grundfunktionen - beispielsweise Menü - ohne Java nicht funktionieren.

Ich hatte zum Glück bislang keinen Virus und nur einmal einen recht leicht entfernbare Schadsoftware, die den Rechner immer wieder runtergefahren hatte aber sonst nichts angerichtet hatte.

Manches lässt sich nur mit JavaScript lösen, aber eine Website sollte - wenn auch etwas umständlicher - auch ohne JavaScript nutzbar sein. Entbehrlich finde ich es, wenn normale Weblinks über JavaScript arbeiten. Das ist in den allermeisten Fällen unnötig und sperrt damit jeden simplen Browser aus.
 
Zuletzt bearbeitet:
Im Moment wird oben links über dem DSLR-Forum Logo wieder ein IFRAME eingebeldet, der mir da so noch nie aufgefallen ist. Werbemaßnahme oder Attacke?

Das Ding verlinkt auf
Code: 
...zensiert...
Das ich nicht weiss was es ist: NICHT ANKLICKEN :rolleyes:
 
Zuletzt bearbeitet:
Kann ich bestätigen, ist mir auch gerade aufgefallen - da solche Scherze bei mir geblockt werden. Die unerwünschte I-Frame-Einblendung befindet sich im Forums-Header noch vor dem Logo oben links.

[EDIT] Und schon hat der Spuk wieder ein Ende...
c025.gif


Gruß, Graukater
 
Zuletzt bearbeitet:
Ist es. :cool: Wenn ich es richtig gesehen habe, war es Teil (ganz am Ende) der CSS-Stylesheet-Einbindung - falls das bei der Ursachenforschung helfen sollte.

Gruß, Graukater
 
Ja, die Angriffe auf das Stylesheet halten an - im Augenblick wird offenbar mit verschlüsseltem Javascript experimentiert. Wäre gut, wenn Ihr mal das Einfallstor lokalisieren könntet... (Wer zum Henker bekommt Schreibzugriff auf die vBulletin-includes? :confused:)

Gruß, Graukater
 
ich weis schon warum ich Foren generell nur mit einem "sicheren Browser" (Sandbox ohne jegliche Schreibrechte) benutze.
 
Zuletzt bearbeitet:
Langsam könnte man das Forum ja aufs CPPCMS portieren, in derem evil input processing gabs noch keine Lücke :lol: (Wobei das Forum dann auch auf einem Pentium III Server mit 256 MB RAM laufen dürfte)

Ich finds ja sehr bezeichnend für Jelsoft/Internet Brands, dass sie es nach selbst nach zich Monaten noch nicht geschafft haben die Sicherheitslücke zu eliminieren. Krass. Das überhaupt noch jemand auf einen Hersteller mit so einem katastrophalen security managment setzt...
 
Status
Für weitere Antworten geschlossen.
WERBUNG
Zurück
Oben Unten