unixforum.net reported attack site

[Ebbi]

Erstaunlicherweise tritt das Problem nur in der Arbeit auf, zuhause nicht. 

[Fleedwood]

Erstaunlicherweise tritt das Problem nur in der Arbeit auf, zuhause nicht. 

alter Firefox ?

Thomas.

[Ebbi]

Erstaunlicherweise tritt das Problem nur in der Arbeit auf, zuhause nicht. 

alter Firefox ?

Nope, überall 3.6.8

[stiefkind]

Erstaunlicherweise tritt das Problem nur in der Arbeit auf, zuhause nicht. 

alter Firefox ?

Nope, überall 3.6.8

Ich hab's anders rum: Im Büro tut's tadellos, zuhause nicht. Allerdings sind das wirklich zwei arg unterschiedliche Versionen. Büro ist deutlich älter.

Was mich in dem Zusammenhang  interessieren würde:
(1) Was hat Google damit zu tun?
(2) Was muss ich klicken, um diese Bevormundung durch ein unwissendes und im Kern strohdummes Stück Software auszuschalten?

wolfgang

[stiefkind]

'N Abend!

Eine meiner beiden Fragen kann ich nach ein bisschen Sucherei prompt selbst beantworten:

Was mich in dem Zusammenhang  interessieren würde:
(2) Was muss ich klicken, um diese Bevormundung durch ein unwissendes und im Kern strohdummes Stück Software auszuschalten?

Edit -> Preferences -> Security und dann die entsprechenden Hakerln weg machen.
Wen die schmutzigen Details dazu interessieren: hier und hier.

wolfgang

[Django2]

Das Feature kann man zwar ausschalten das ändert aber nix daran, wie Teen little indyans bemerkt hat, das am Ende des Quelltextes der Haupseite ein Iframe zu xbx.dd5b.com verweist. So ganz sauber ist die Seite nämlich nicht:
http://safeweb.norton.com/report/show?name=dd5b.com

[Ten Little Indyans]

JavaScript ist in Ihrem Webbrowser nicht aktiviert. Um diese Website zu verwenden, müssen Sie JavaScript in Ihrem Browser aktivieren.

Die haben doch 'nen Knall. Um etwas über die Sicherheit einer dubiosen Seite zu erfahren soll ich also erstmal JavaScript aktivieren...

[Jerry]

Moin zusammen,

danke zunächst mal für Eure Wachsamkeit - tatsächlich ist es (auf welchem Weg analysiere ich noch) einem freundlichen Besucher aus China gelungen, uns ein iframe-Statement in die index.php zu schmuggeln.

Der Code ist wieder sauber, das Netz des Angreifers (sorry, wer aus China will schon auf dem deutschen unixforum.net mit deutschen Benutzern über Unix fachsimpeln) hart ausgesperrt - APNIC macht's möglich.

Natürlich habe ich die Logs gesichert und konnte daher genau rausfinden, wann da wer was versucht hat - die Modifikation der index.php geht jetzt nicht mehr (dafür ist das hochpatchen auf neue Releases jetzt etwas schwieriger, aber das ist ja nicht Euer Problem).

Übrigens hatte derselbe Besucher auch noch versucht, über TinyPortal-Features eine PHP-Seite hochzuladen, deren nähere Funktion ich noch checken muss (hab sie natürlich vor dem Löschen ebenfalls gesichert). Da allerdings besagte Seite nur von ihm und sonst niemandem aufgerufen wurde sieht es für mich so aus als hätte das, was er eigentlich wollte, nicht funktioniert. Schonmal gut.

Natürlich schau ich jetzt, ob er bei den anderen Foren auch war

Also: Es gibt kein zu oft nachfragen, es gibt höchstens ein zu wenig nachschauen (bei mir ) - bleibt bitte weiter so wachsam, dann passiert auch nix schlimmes...

LG
Jerry

[Jerry]

Da müsste mal einer der Global-Admins auf der Google-Seite (Webmaster Tools) mal ein Review beantragen. Ich glaube eigentlich nicht, dass hier irgendwelche Schadsoftware in irgendeinem Verzeichnis liegt.

neulich hat sich ja die "unsere" IP geändert, wer weiß was mit der IP vorher getrieben wurde...

Thomas.

Berechtigter Punkt - allerdings nur bedingt, denn die IP die unixforum.net jetzt hat, war zuvor mit größter Wahrscheinlichkeit unbenutzt (war eine nicht assignte aus einem Pool, der für den Vorgänger dieses Servers seit vier Jahren geblockt war...)

Müsste schon ein höchstseltsamer Vorgang sein. Aber tatsächlich war's wohl "nur" der dusselige iframe...

...dessen Ziel ich mir übrigens grad mal näher anschaue. Ich versteh's noch nicht komplett aber am ehesten war das Ding wohl auf XP-User abgezielt (insofern etwas müßig, das in einem UNIX (sic!) Forum zu versuchen). Na egal, mal googeln, das Ding ist bestimmt kein Einzelfall...

Ein Gutes haben die chinesischen Script-Kiddies ja - sie sorgen dafür dass das Webmasterleben interessant bleibt...

LG
Jerry

[Ebbi]

Im Übrigen lösche ich auch verdächtige Neuregistrierungen.

[Jerry]

Das ist auch gut so - danke Dir für Deinen ständigen Einsatz in dieser Richtung. Ich muss jetzt mal einen Datenbankdump des fraglichen Tages raussuchen und schauen, ob der Typ sich überhaupt registrieren musste um seinen Schei... zu treiben. Das was er hochgeladen hat war nämlich eine astreine PHP-Shell (die man, wenn man geeignet googelt, auf erstaunlich vielen Webseiten funktionsfähig versteckt findet - offensichtlich nicht so versteckt, dass google sie nicht indizieren würde *G*)

Na egal, das Ding ist weg und da es darin ein eindeutiges Pattern gibt steht das jetzt in meinen Security-Check-Scripten auf allen Servern mit drin. Ist allerdings sonst nirgends auffällig geworden. Falls jemand was über die Gruppierung weiss, die hinter 4ngel.net steckt (nein, ich kann kein Chinesisch ) - schon spaßig was die so basteln...

Ein Teil dieser Shell ist sogar total nützlich und wiederverwertbar - mir gefällt nur der eingebaute Backdoor-Versuch nicht.

Vielleicht mag mal jemand erwähnen ob die security Warnung für unixforum.net jetzt weg ist?

LG
Jerry

[Jerry]

Schade, Ebbi, Du warst zu gründlich... die Registrierung (falls es eine gab) von 61.158.152.96 (oder aus dem Netzwerkrange) ist nicht mehr auffindbar...

Nagut, rein kommt der Typ eh nicht mehr - what shall's...

[Ebbi]

Interessant, wenn man die Seite http://www.4ngel.net/ ansurft, schlägt sofort der Virenscanner wegen einer "sessionstore.js" Alarm - trotz NoScript-Addon.

[Ten Little Indyans]

Auch mit NoScript wird der Seitenquelltext erstmal komplett heruntergeladen, nur sollte der Browser nichts von dem ganzen Javascript-Mist ausführen. Ausser einem einzigen Button (mit Style "Display: None") besteht die Datei nur aus Script-Tags. Ich denke mal der Virenscanner ist auf die Kopie der index.html im Browser-Cache angesprungen. Was da drin steht ist ja schon auf den ersten Blick dubios.

Dazu fällt mir die aktuelle Reihe "Tatort Internet" in der c't ein. Wenn ich die Zeit hätte würde es mich schon interessieren den Kram mal zu dekodieren...

P.S. Aha, bei mir tut die Vorschau jetzt auch wieder.

[meisterdausi]

Hallo,

also mein Mac zuhause meckert immer noch, dass unsere Siete böse ist.

Kann da mal einer den Review von Tante Google beantragen?

Kost doch nix :-D

Viele Grüße,

meisterdausi