• Neuer Gutscheincode unseres Partners Schutzfolien24:
    DSLR-Forum2025
    Dauerhaft 10% Rabatt auf alle Displayschutzfolien und Schutzgläser der Eigenmarken
    "Upscreen", "Screenleaf", BROTECT" und "Savvies".
    Der Code ist für alle Geräteklassen gültig.
  • Mitmachen beim DSLR-Forum Fotowettbewerb Mai 2025.
    Thema: "Zweckentfremdet"

    Jeden Monat attraktive Gewinnprämien, gesponsert von unserem Partner PixelfotoExpress.
    Alle Infos zum Juni-Wettbewerb hier!
  • In eigener Sache!

    Liebe Mitglieder, liebe Besucher und Gäste
    ich weiß, es ist ein leidiges Thema, aber ich muss es ansprechen: Werbung, Werbeblocker und Finanzierung des Forums.
    Bitte hier weiterlesen ...

  • Nicht erreichbare Adressen im Benutzerkonto
    Wir bekommen zurzeit eine große Anzahl an E-Mails, die das System zum Beispiel als Benachrichtigungen an Nutzer verschickt,
    als unzustellbar zurück, weil z.B. die Adressen nicht erreichbar sind oder das Postfach gar nicht existiert.
    Stellt doch bitte sicher, dass die Benachrichtigungen, die ihr vom System erwartet, auch zugestellt werden können.
    Nicht erreichbare E-Mail-Adressen sind dazu wenig hilfreich.
    Danke!
WERBUNG

wieder iframe attacke.....

Status
Für weitere Antworten geschlossen.
du meinst "verbieten", richtig? nur damit es deutlich ist.

gruß luisoft

Genau
 
Was ist denn eine "richtige" Firewall? Und wie soll die gegen Content schützen, der über den Browser runtergeladen wird ohne den Browser komplett zu blockieren? Und wie soll die Firewall einmal eingefallene Malware abhalten, wenn selbige die Firewall auch einfach ausschalten kann?

Junge Junge, da wundert mich nix mehr :)

Eine "richtige" Firewall ist ein dediziertes System und nicht dieser Snakeoilblödsinn von Personal Firewall. Dedizierte Firewalls haben eigentlich auch alle die Möglichkeiten beim Auftreten von Strings in der Kommunikation oder via DPI beim Aufruf bestimmter URLs den Datenstrom zu unterbrechen.

Junge Junge, da wundert mich nix mehr :)

Das ist nach den aktuellen Angriffen so nicht ganz richtig!

Es wurden ja die Avatarbilder abgeschaltet und danach war ja auch ne Zeit lang Ruhe und nu gab es trotz abgeschalteter Avatabilder erneute (massive) Angriffe, also ist es diesmal vermutlich ein anderer Grund!
Ach? Da das Forum keinerlei Drittherstellersoftware verwendet, kann es nur eine Lücke im Forum sein, da bei Lücken in PHP, Apache oder nginx (haha, nginx und Sicherheitslücke :D) wesentlich mehr Seiten betroffen sind.

Hast du da mal einen Link für mich? Hab gerade ein bissel gegoogelt, konnte aber nix konkretes finden...
Im vBulletin-Forum gibts nen länglichen Thread zu diesen Erscheinungen. Link habe ich grade nicht an der Hand, war aber in einen der früheren Threads hin und wieder verlinkt. Dort hat auch ein Mitarbeiter des Herstellers sich dahingehend geäußert, dass sie da keinen Bedarf sehen einen Fix zu liefern, weil wohl niemand in der Lage ist den genauen Infektionsprozess nachzuvollziehen.
 
Zuletzt bearbeitet:
Da das Forum keinerlei Drittherstellersoftware verwendet
Dabei fällt mir gerade ein: Doch - muss es eigentlich: Soweit ich weiß, ist die EXIF-Anzeige unter den Bildern eine speziell für dieses Forum geschriebene Erweiterung. Ich weiß nicht, ob das hier schonmal besprochen wurde, aber könnte es evtl. sein, dass es daran liegt?

Andererseits... 1) warum haben die Angriffe dann nach Abschaltung der Avatare (die nichts mit der EXIF-Anzeige zu tun haben - oder?) erstmal aufgehört und 2) warum sollte sich ein Hacker die Mühe machen, so eine spezielle (und im Quellcode nicht öffentlich verfügbare?) Erweiterung, die nur für ein einziges Forum verwendet wird, auf Sicherheitslücken zu analysieren? Kann's eigentlich auch nicht sein...
 
Der Quellcode der EXIF-Erweiterung dürfte eher überschaubar ausfallen, sagen wir es mal so...
 
Mal ganz abgesehen davon, dass das EXIF Plugin ja keine Funktionalität auf den manipulierten Seiten erzeugt hat. Und auch die eigentliche Funktion des EXIF Plugins dürfte aus externen Bibliotheken [vermtl. gd oder ImageMagick] stammen. Und die haben auch seltenst Sicherheitslücken.
Ergo ist es sehr unwarscheinlich, dass das EXIF Plugin die Schwachstelle ist, außerdem würde das ja nicht die Angriffe auf andere Foren erklären - die ja dieses EXIF Plugin gar nicht haben können.
 
Am Montag hat's mich erwischt - gut möglich dass die Malware durch's Forum reingekommen ist; so ein fake Virenscanner usw. Kram. MSE hat zwar Alarm geschlagen aber anscheinend erst als es zu spät war.
Hab den PC am Dienstag gesäubert und mich die ganze Zeit gefragt woher das gekommen ist aber jetzt habe ich zu mindest eine Vermutung.
 
Seltsam dass nur das DSLR-Forum scheinbar betroffen ist, ich kenne kein anderes, großes vBulletin Board welches solche Probleme hat, daher finde ich es gewagt von einer generellen Lücke zu sprechen.

Irgendwie kann es auch keine Lösung sein regelmäßig per Cronjob nach entspr. Inhalten zu suchen und in der Zeit bis Scorpio reagiert infizieren sich User.

Das soll keine Kritik sein an der Administration, aber wer sagt dass nicht bald das suchende Skript manipuliert wird oder ein Adminaccount kompromittiert wird. Am Ende dann womöglich noch eine Kopie aller Bilder + die DB im Netz. Ich würde daher erstmal die Gründe suchen - nicht jeder Hacker nutzt Lücken so offensichtlich ais, wie es hier mit den iFrames der Fall ist, eventuell besteht diese doch schon länger

Auch störend finde ich die mangelnde Kommunikation und dass hier nur im Thread in einem eher wenig besuchten Unterforum gewarnt wird.

Das soll wie gesagt keine bösartige Kritik sein, ich weiß ihr seid auch nur Menschen und macht das hier in eurer Freizeit, nur manches Verhalten sollte man vllt. überdenken.
 
Zuletzt bearbeitet:
Hm, habt Ihr mal im vom SPON verlinkten Blog auch die Kommentare der User gelesen?

Eine schreibt da im Hinblick auf den Infektionsmechanismus: "hi think they grab the local saved XML-File from filezilla with the saved FTP-Accounts and beam they to a external server. After a few moments (or days) the external server logged into the FTP-Account and manipulate the files. We had this problems with an XT-Commerce Shopware-Installation.

After cleanup the Template-HTML-Files the iframe-Code return after a few days again and again. Since we changed the FTP-Passwords all Problems solved."
 
So allein betroffen sind wir gar nicht:
http://www.spiegel.de/netzwelt/web/0,1518,792955,00.html

auf der Mitte der Seite unter "Malware-Epidemie: Hunderttausende Websites infiziert"


Okay, scheint tatsächlich ein größeres Problem zu sein ;)


Eine schreibt da im Hinblick auf den Infektionsmechanismus: "hi think they grab the local saved XML-File from filezilla with the saved FTP-Accounts and beam they to a external server. After a few moments (or days) the external server logged into the FTP-Account and manipulate the files. We had this problems with an XT-Commerce Shopware-Installation.

After cleanup the Template-HTML-Files the iframe-Code return after a few days again and again. Since we changed the FTP-Passwords all Problems solved."
Irgendwie müssen sie die Datei ja manipulieren aka irgendwo Zugang haben...
 
Zuletzt bearbeitet:
Seitenspezifische Einstellungen -> Anzeige (4. Reiter) -> Option Inline-Frames zulassen abwählen.

Seltsam - bei mir ist das aktiv & ich bin trotzdem bisher von diesem hartnäckigen Problem verschont geblieben. Was ich hier so gelegentlich überflogen hab deutet daraufhin, daß nur bestimmte Browser betroffen sind.
 
Seltsam - bei mir ist das aktiv & ich bin trotzdem bisher von diesem hartnäckigen Problem verschont geblieben.
Ich habe trotz großer Neugier entschieden, auf das Kontrollexperiment zu verzichten. ;)

Nach allem, was ich in letzter Zeit zu diesem Thema mitbekommen habe, sind die Dauern einer akuten Forumverseuchung mittlerweile recht kurz. Ich spekuliere daher, Du hattest bisher einfach das Glück gehabt, zum falschen Zeitpunkt nicht hier gewesen zu sein.


Grüße,
IcheBins
 
Status
Für weitere Antworten geschlossen.
WERBUNG
Zurück
Oben Unten