Exploit-Warnung AVG

[Bernd Junker]

jetzt kommt 'ne andere Meldung:

Das Problem ist bekannt:

Iframe MYSQL Injection (http://centiyo.com/in.cgi?default))

[Alexander Grodzinski]

Was mir gerade noch aufgefallen ist: Die Seite lädt im IE länger, sprich, eigentlich ist die Seite schon vollständig zu sehen, aber der Browser lädt immer noch etwas nach, als wäre ein Banner oder Bild auf der Seite, welches noch geladen werden müsste. Ich weiss nicht, ob das irgendwas bedeutet, ist mir nur aufgefallen.

[Gast FilmmusikOnkel]

jetzt kommt 'ne andere Meldung:

Hm, also grade wieder erstmals wieder online..bei mir heute KEINERLEI Warnmeldungen von meinem Kasperle äh Kaspersky CBE. <b> Habe jetzt ja auch seit vorhin JavaScript deaktiviert, vielleicht schützt dasja doppelt. Kaspersky UND kein JavaScript!?

[Bernd Junker]

Was mir gerade noch aufgefallen ist: Die Seite lädt im IE länger, sprich, eigentlich ist die Seite schon vollständig zu sehen, aber der Browser lädt immer noch etwas nach, als wäre ein Banner oder Bild auf der Seite, welches noch geladen werden müsste. Ich weiss nicht, ob das irgendwas bedeutet, ist mir nur aufgefallen.

Das ist mir gestern auch schon aufgefallen, aber bisher war ich zu faul, mir genau protokollieren zu lassen, was beim Aufruf der SB-URL genau geladen wird.

[Bernd Junker]

Habe jetzt ja auch seit vorhin JavaScript deaktiviert, vielleicht schützt dasja doppelt. Kaspersky UND kein JavaScript!?

Da fehlt Dir leider wieder das nötige Hintergrundwissen ...

JavaScript hat nichts mit Kaspersky zu tun ...

[Gast FilmmusikOnkel]

JavaScript hat nichts mit Kaspersky zu tun ...

Sagt ja auch Niemand, daß Javascript etwas mit Kaspersky zu tun hätte, meine Formulierung im vorigen Beitrag war ja wohl eindeutig!

Ich sagte damit, daß ich quasi als doppelten Schutz (zum Kaspersky dazu), der eh immer läuft und aufpasst und abfängt, jetzt auch noch im FF das Javascript deaktiviert habe, weil weiter oben ja Jemand schrieb, daß die Fieslinge JavaScript benutzen bzw über JavaScript reinkommen..

Ergo: kein aktiviertes JavaScript=kein Fiesling, der anklopft und JavaScript benutzen kann, weil deaktiviert.

Und falls doch gibts ja noch Kaspersky als GEGENWEHR.

[MarSco]

Ich hab an dem besagten Tag auch mit aktiviertem AVG die Seite besucht und keine Meldung bekommen. Hab gestern auch nochmal den ganzen Computer durchgescannt und nichts gefunden.

[Bernd Junker]

Auf der Startseite scheinen definitiv Fehler zu sein:

Details zum Fehler auf der Webseite

Benutzer-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

Zeitstempel: Wed, 30 Dec 2009 11:06:11 UTC

Meldung: 'YAHOO' ist undefiniert

Zeile: 7

Zeichen: 1

Code: 0

URI: http://www.soundtrack-board.de/clientscript/yui/connection/connection-min.js?v=384

Meldung: 'YAHOO' ist undefiniert

Zeile: 16

Zeichen: 720

Code: 0

URI: http://www.soundtrack-board.de/clientscript/vbulletin_global.js?v=384

Meldung: 'vBulletin' ist Null oder kein Objekt

Zeile: 11

Zeichen: 1

Code: 0

URI: http://www.soundtrack-board.de/clientscript/vbulletin_menu.js?v=384

Meldung: 'vBmenu' ist Null oder kein Objekt

Zeile: 1360

Zeichen: 2

Code: 0

URI: http://www.soundtrack-board.de/search.php?do=getnew

Meldung: 'vBulletin' ist Null oder kein Objekt

Zeile: 16

Zeichen: 22449

Code: 0

URI: http://www.soundtrack-board.de/clientscript/vbulletin_global.js?v=384

Und außerdem sieht man im Browser beim Aufruf kurzzeitig, daß scheinbar irgendetwas von centiyo.com geladen wird. Und wenn man bei Google mal centiyo.com eingibt, steht zumindest im Internet Explorer "Diese Webseite kann ihren Computer beschädigen". Das finde ich schon arg bedenklich !!!

[Gast FilmmusikOnkel]

Und was tust Du dagegen für Dich persönlich? Hast Du an Deinem Browser "Java-Script" jetzt ausgeschaltet? NUTZT es überhaupt was wenn man Java-Script ausgeschaltet ist? Kann dann der Schädling nicht in den eigenen Rechner eindringen bzw. überhaupt nicht aktiv werden, weil er nur JavaScript ausnutzt?

[Aquarius]

Auf der Startseite scheinen definitiv Fehler zu sein:

Und außerdem sieht man im Browser beim Aufruf kurzzeitig, daß scheinbar irgendetwas von centiyo.com geladen wird. Und wenn man bei Google mal centiyo.com eingibt, steht zumindest im Internet Explorer "Diese Webseite kann ihren Computer beschädigen". Das finde ich schon arg bedenklich !!!

... spätestens diese Information schreit mindestens nach transparenter Information seitens der Administration.

Bis die Sache definitiv geklärt ist werde ich SB vorsichtshalber nicht mehr als Startseite nutzen und nicht mehr auf meinem Dienstrechner aufrufen. Glücklicherweise habe ich derzeitig Urlaub, sodass dieser Rechner davon hoffentlich noch nichts abbekommen hat!!!

[Bernd Junker]

... spätestens diese Information schreit mindestens nach transparenter Information seitens der Administration.

Okay, jede Software, ob lokal auf dem Rechner oder im Internet, kann mit Fehlern behaftet sein.

Persönlich beunruhigt mich das Ganze aber nicht wirklich. Ich habe nun mehrmals mit verschiedenen Tools den Hauptrechner gescannt und alles ist scheinbar sauber. Zudem bin ich dank Router abgeschottet, so daß zumindest mein Rechner nicht eigenständig nach außen etwas verschicken kann. Zusätzlich läuft Spybot und Ad-Aware.

So richtig negativ ist mir auch nur links unten im, IE aufgefallen, daß dort kurzzeitig centiyo.com stand. Und danach habe ich dann mal gegoogelt - das Ergebnis sah leider nicht sehr positiv aus.

@FilmmusikOnkel

Ich tue persönlich nichts dagegen. Meinen Browser (IE 8) habe ich mittels TuneUp automatisch auf "sicher" eingestellt (hoffe ich zumindest ) und der Rest ist mir eigentlich vollkommen egal, da alle Platten 1:1 gespiegelt werden. Die Systemplatte ist mir zudem total egal, da man ein System auch binnen 24 Stunden neu aufsetzen. Wichtig sind nur die 4 TB Daten - aber die sind ja auch gespiegelt. Und von Trojanern in Audio-Dateien habe ich noch nichts gehört.

[Gast FilmmusikOnkel]

BRINGT es denn was (abgesehen von sonstigen Maßnahmen wie eben Security Suite/Firewall usw.) wenn man im Browser JAVA SCRIPT einfach ABSCHALTET (abgesehen davon, daß das Schreiben und die Darstellung hier ohne JavaScript recht unkomfortabel ist ) hinsichtlich dessen, daß dann ein Schädling der auf JavaScript basiert gar nicht erst loslegen kann?

[Marcus Stöhr]

Erstmal möchte ich mich dafür entschuldigen erst jetzt wieder zu schreiben. Im Moment bin ich zu Hause mangels Internetanschluß extrem eingeschränkt. Aus diesem Grund könnte dieses Problem zu keinem schlechteren Zeitpunkt auftreten.

Ansonsten möchte ich euch versichern, dass keine Daten von Benutzern kompromitiert wurden. Mittlerweile kenne ich den Grund für die Lücke, welche bereits geschlossen ist, ich aber noch Nacharbeiten erledige, damit alle entstandenen Probleme restlos entfernt werden.

[Bernd Junker]

Danke, Marcus

[horner1980]

Schließe mich mal Bernd an und sage ebenfalls danke.

ui sogar die alten smileys wieder, fein fein.

[Marcus Stöhr]

ui sogar die alten smileys wieder, fein fein.

Dass war das kleinste Problem.

[Gast FilmmusikOnkel]

Danke Marcus, auch wenn ein gewisses Unbehagen zurückbleibt, weil man ja hier nicht weiß WAS GENAU jetzt nun eigentlich war bzw. wie bedroht die eigenen Rechner waren. KANN man denn jetzt hier wieder unbesorgt JavaScript einschalten? Bzw. nützt es überhaupt was JavaScript auszuschalten um Fieslingen keine Chance zu lassen?

[Marcus Stöhr]

Danke Marcus, auch wenn ein gewisses Unbehagen zurückbleibt, weil man ja hier nicht weiß WAS GENAU jetzt nun eigentlich war bzw. wie bedroht die eigenen Rechner waren. KANN man denn jetzt hier wieder unbesorgt JavaScript einschalten? Bzw. nützt es überhaupt was JavaScript auszuschalten um Fieslingen keine Chance zu lassen?

Es wurde mittels eines manipulierten Bildes Schadcode ausgeführt. Was dieser Code bewirkt, sollte in den jeweiligen Beschreibungen der Antivirensoftware zu finden sein. Mehr kann ich dazu leider nicht sagen.

Ich habe Javascript noch immer eingeschalten und werde es auch nicht ausschalten. Solange die entsprechenden Programme bei Gefahr anschlagen, dann kann man Javascript ausschalten.

[Gast FilmmusikOnkel]

Danke Dir Marcus.

Was dieser Code bewirkt, sollte in den jeweiligen Beschreibungen der Antivirensoftware zu finden sein.

Tja, nur leider nicht sehr allgemeinverständlich.

[Marcus Stöhr]

Um auf Nummer Sicher zu gehen, sollte jeder Benutzer auf seinem Rechner ein aktuelles Antivirenprogramm laufen lassen, damit mögliche Schadprogramme gefunden und entfernt werden können.

[Bommel]

Besten Dank nochmal, auf dass es nun sicher ist

[Marcus Stöhr]

Besten Dank nochmal, auf dass es nun sicher ist

Da hoffe ich mehr als jeder andere drauf. Wenn es nicht der Fall sein sollte, wird es eine lange Pause fürs Forum geben müssen.

[horner1980]

Da hoffe ich mehr als jeder andere drauf. Wenn es nicht der Fall sein sollte, wird es eine lange Pause fürs Forum geben müssen.

Hoffen wir alle das Beste.

Ich hab grade meine Virenscanner durchlaufen lassen, nichts gefunden.

[BigMacGyver]

Ah deshalb hat mein lesezeichen nicht mehr funktioniert nachdem die seite zur wartung offline ging. Ich dachte schon das forum wäre komplett ausgeknippst worden.

Kurz vor der wartung hatte ich übrigens auch warnungen von antivir bekommen, aber erst nachdem ich einen kompletten system-check gemacht habe und auch nur, wenn ich ungefähr um die 30 minuten auf einer board-seite geblieben bin ohne rumzubrowsen (zu dem zeitpunkt war ich nicht unmittelbar vor dem bildschirm). Kann also auch sein, dass es nichts mit dem forum zu tun hatte.

Aber wenn jetzt alles wieder normal läuft dann hoffen wir mal, dass es so bleibt.

[Sebastian Schwittay]

Ich hatte die letzten Tage weder mit Firefox noch mit dem Internet Explorer irgendwelche Gefahren-Meldungen. Und Kaspersky meldet auch nix.

Aber gut, ich kenne mich mit Internet-Sicherheit auch nicht aus - und bin auch nicht besonders ängstlich, was die Sache betrifft. Ich habe keinerlei sensiblen Daten auf meiner Platte, und solange der Rechner hoch- und runterfährt, ich ins Board schreiben kann und CDs abgespielt werden, ist alles in Ordnung.