Genau
-
Neuer Gutscheincode unseres Partners Schutzfolien24:
DSLR-Forum2025
Dauerhaft 10% Rabatt auf alle Displayschutzfolien und Schutzgläser der Eigenmarken
"Upscreen", "Screenleaf", BROTECT" und "Savvies".
Der Code ist für alle Geräteklassen gültig. -
Mitmachen beim DSLR-Forum Fotowettbewerb Mai 2025.
Thema: "Zweckentfremdet"
Jeden Monat attraktive Gewinnprämien, gesponsert von unserem Partner PixelfotoExpress.
Alle Infos zum Juni-Wettbewerb hier! -
In eigener Sache!
Liebe Mitglieder, liebe Besucher und Gäste
ich weiß, es ist ein leidiges Thema, aber ich muss es ansprechen: Werbung, Werbeblocker und Finanzierung des Forums.
Bitte hier weiterlesen ... -
Nicht erreichbare Adressen im Benutzerkonto
Wir bekommen zurzeit eine große Anzahl an E-Mails, die das System zum Beispiel als Benachrichtigungen an Nutzer verschickt,
als unzustellbar zurück, weil z.B. die Adressen nicht erreichbar sind oder das Postfach gar nicht existiert.
Stellt doch bitte sicher, dass die Benachrichtigungen, die ihr vom System erwartet, auch zugestellt werden können.
Nicht erreichbare E-Mail-Adressen sind dazu wenig hilfreich.
Danke!
WERBUNG
wieder iframe attacke.....
- Themenersteller 4zap
- Erstellt am
-
- Schlagworte
- sicherheitsprobleme
- Status
Genau
Was ist denn eine "richtige" Firewall? Und wie soll die gegen Content schützen, der über den Browser runtergeladen wird ohne den Browser komplett zu blockieren? Und wie soll die Firewall einmal eingefallene Malware abhalten, wenn selbige die Firewall auch einfach ausschalten kann?
Junge Junge, da wundert mich nix mehr
Eine "richtige" Firewall ist ein dediziertes System und nicht dieser Snakeoilblödsinn von Personal Firewall. Dedizierte Firewalls haben eigentlich auch alle die Möglichkeiten beim Auftreten von Strings in der Kommunikation oder via DPI beim Aufruf bestimmter URLs den Datenstrom zu unterbrechen.
Junge Junge, da wundert mich nix mehr
Ach? Da das Forum keinerlei Drittherstellersoftware verwendet, kann es nur eine Lücke im Forum sein, da bei Lücken in PHP, Apache oder nginx (haha, nginx und Sicherheitslücke
) wesentlich mehr Seiten betroffen sind.Im vBulletin-Forum gibts nen länglichen Thread zu diesen Erscheinungen. Link habe ich grade nicht an der Hand, war aber in einen der früheren Threads hin und wieder verlinkt. Dort hat auch ein Mitarbeiter des Herstellers sich dahingehend geäußert, dass sie da keinen Bedarf sehen einen Fix zu liefern, weil wohl niemand in der Lage ist den genauen Infektionsprozess nachzuvollziehen.
Zuletzt bearbeitet:
Gast_99693
Guest
Dabei fällt mir gerade ein: Doch - muss es eigentlich: Soweit ich weiß, ist die EXIF-Anzeige unter den Bildern eine speziell für dieses Forum geschriebene Erweiterung. Ich weiß nicht, ob das hier schonmal besprochen wurde, aber könnte es evtl. sein, dass es daran liegt?
Andererseits... 1) warum haben die Angriffe dann nach Abschaltung der Avatare (die nichts mit der EXIF-Anzeige zu tun haben - oder?) erstmal aufgehört und 2) warum sollte sich ein Hacker die Mühe machen, so eine spezielle (und im Quellcode nicht öffentlich verfügbare?) Erweiterung, die nur für ein einziges Forum verwendet wird, auf Sicherheitslücken zu analysieren? Kann's eigentlich auch nicht sein...
Gast_99693
Guest
Stimmt - das macht Sicherheitlücken zwar nicht unmöglich, reiht sich aber wunderbar als Punkt 3) in mein "Andererseits..." ein.
Mal ganz abgesehen davon, dass das EXIF Plugin ja keine Funktionalität auf den manipulierten Seiten erzeugt hat. Und auch die eigentliche Funktion des EXIF Plugins dürfte aus externen Bibliotheken [vermtl. gd oder ImageMagick] stammen. Und die haben auch seltenst Sicherheitslücken.
Ergo ist es sehr unwarscheinlich, dass das EXIF Plugin die Schwachstelle ist, außerdem würde das ja nicht die Angriffe auf andere Foren erklären - die ja dieses EXIF Plugin gar nicht haben können.
Ergo ist es sehr unwarscheinlich, dass das EXIF Plugin die Schwachstelle ist, außerdem würde das ja nicht die Angriffe auf andere Foren erklären - die ja dieses EXIF Plugin gar nicht haben können.
Am Montag hat's mich erwischt - gut möglich dass die Malware durch's Forum reingekommen ist; so ein fake Virenscanner usw. Kram. MSE hat zwar Alarm geschlagen aber anscheinend erst als es zu spät war.
Hab den PC am Dienstag gesäubert und mich die ganze Zeit gefragt woher das gekommen ist aber jetzt habe ich zu mindest eine Vermutung.
Hab den PC am Dienstag gesäubert und mich die ganze Zeit gefragt woher das gekommen ist aber jetzt habe ich zu mindest eine Vermutung.
Seltsam dass nur das DSLR-Forum scheinbar betroffen ist, ich kenne kein anderes, großes vBulletin Board welches solche Probleme hat, daher finde ich es gewagt von einer generellen Lücke zu sprechen.
Irgendwie kann es auch keine Lösung sein regelmäßig per Cronjob nach entspr. Inhalten zu suchen und in der Zeit bis Scorpio reagiert infizieren sich User.
Das soll keine Kritik sein an der Administration, aber wer sagt dass nicht bald das suchende Skript manipuliert wird oder ein Adminaccount kompromittiert wird. Am Ende dann womöglich noch eine Kopie aller Bilder + die DB im Netz. Ich würde daher erstmal die Gründe suchen - nicht jeder Hacker nutzt Lücken so offensichtlich ais, wie es hier mit den iFrames der Fall ist, eventuell besteht diese doch schon länger
Auch störend finde ich die mangelnde Kommunikation und dass hier nur im Thread in einem eher wenig besuchten Unterforum gewarnt wird.
Das soll wie gesagt keine bösartige Kritik sein, ich weiß ihr seid auch nur Menschen und macht das hier in eurer Freizeit, nur manches Verhalten sollte man vllt. überdenken.
Irgendwie kann es auch keine Lösung sein regelmäßig per Cronjob nach entspr. Inhalten zu suchen und in der Zeit bis Scorpio reagiert infizieren sich User.
Das soll keine Kritik sein an der Administration, aber wer sagt dass nicht bald das suchende Skript manipuliert wird oder ein Adminaccount kompromittiert wird. Am Ende dann womöglich noch eine Kopie aller Bilder + die DB im Netz. Ich würde daher erstmal die Gründe suchen - nicht jeder Hacker nutzt Lücken so offensichtlich ais, wie es hier mit den iFrames der Fall ist, eventuell besteht diese doch schon länger
Auch störend finde ich die mangelnde Kommunikation und dass hier nur im Thread in einem eher wenig besuchten Unterforum gewarnt wird.
Das soll wie gesagt keine bösartige Kritik sein, ich weiß ihr seid auch nur Menschen und macht das hier in eurer Freizeit, nur manches Verhalten sollte man vllt. überdenken.
Zuletzt bearbeitet:
Moin!
Ich weiß zwar nicht um welche Forensoftware es sich dort handelt,
aber das Großformatforum war wegen eines Hackerangriffs mehrere Wochen offline!
mfg hans
Das Großformatforum läuft auf phpBB.
So allein betroffen sind wir gar nicht:
http://www.spiegel.de/netzwelt/web/0,1518,792955,00.html
auf der Mitte der Seite unter "Malware-Epidemie: Hunderttausende Websites infiziert"
http://blog.armorize.com/2011/07/willysycom-mass-injection-ongoing.html
Hier steht es auch, nur liefert der Code auf der Seite auch gleich wieder einen Alarm in Avast^^
Trojanisches Pferd bla bla bla---
Hier steht es auch, nur liefert der Code auf der Seite auch gleich wieder einen Alarm in Avast^^
Trojanisches Pferd bla bla bla---
Hm, habt Ihr mal im vom SPON verlinkten Blog auch die Kommentare der User gelesen?
Eine schreibt da im Hinblick auf den Infektionsmechanismus: "hi think they grab the local saved XML-File from filezilla with the saved FTP-Accounts and beam they to a external server. After a few moments (or days) the external server logged into the FTP-Account and manipulate the files. We had this problems with an XT-Commerce Shopware-Installation.
After cleanup the Template-HTML-Files the iframe-Code return after a few days again and again. Since we changed the FTP-Passwords all Problems solved."
Eine schreibt da im Hinblick auf den Infektionsmechanismus: "hi think they grab the local saved XML-File from filezilla with the saved FTP-Accounts and beam they to a external server. After a few moments (or days) the external server logged into the FTP-Account and manipulate the files. We had this problems with an XT-Commerce Shopware-Installation.
After cleanup the Template-HTML-Files the iframe-Code return after a few days again and again. Since we changed the FTP-Passwords all Problems solved."
Okay, scheint tatsächlich ein größeres Problem zu sein
Irgendwie müssen sie die Datei ja manipulieren aka irgendwo Zugang haben...
Zuletzt bearbeitet:
Seitenspezifische Einstellungen -> Anzeige (4. Reiter) -> Option Inline-Frames zulassen abwählen.
Grüße,
IcheBins
Seltsam - bei mir ist das aktiv & ich bin trotzdem bisher von diesem hartnäckigen Problem verschont geblieben. Was ich hier so gelegentlich überflogen hab deutet daraufhin, daß nur bestimmte Browser betroffen sind.
Ich habe trotz großer Neugier entschieden, auf das Kontrollexperiment zu verzichten.
Nach allem, was ich in letzter Zeit zu diesem Thema mitbekommen habe, sind die Dauern einer akuten Forumverseuchung mittlerweile recht kurz. Ich spekuliere daher, Du hattest bisher einfach das Glück gehabt, zum falschen Zeitpunkt nicht hier gewesen zu sein.
Grüße,
IcheBins
- Status
WERBUNG