Angriffe auf das Forum

Olli · 30.06.2010, 11:29

Heute wurde das Forum zum 2 ten Mal innnerhalb der Woche gehackt.
Diesesmal wurde das Style in der Datenbank verändert un schadhafter Code eingebunden.
Wie das genau sein kann weiß ich bislang nicht. Die Website ist inzwischen als Verdächtig eingestuft und solagne die Sicherheitslücke nicht vollständig geschlossen wurde lasse ich das auch erstmal so.
Empfohlen wird die Verwendung von No s c ript (zusammenschreiben) und der Firefox. Dann sollte die Gefahr der Infizierung gegen Null gehen.
Ich warte nun auf Hilfe von vBulletin, die ja solche Lücken schließen müssten.

Am WE mache ich das Forum dann komplett neu, deswegen wird es wohl dann größere Ausfälle geben.

Schade, das es solche Idioten gibt.

philippt8 · 30.06.2010, 11:33

lass dein mysql codieren

kostet etwas aber hilft

gruß phil

spark · 30.06.2010, 12:02

ich denke mal, dass derjenige hier auch fleißig mitliest, denn die reaktion auf das erste schließen der lücke kam ja sehr sehr schnell.. und wer, wenn nicht ein frustrierter interner hätte ernsthaft interesse daran, dem portal zu schaden...

Broso · 30.06.2010, 12:06

ich tippe da eher auf russen oder die amis die hacken gerne denke nicht das hier einer so gut ist das zu schaffen...

Olli · 30.06.2010, 12:14

Ich denke auch das es keine Deutschen sind. Und mitlesen wohl auch eher nicht, das war eben Stufe 2 und die 3 tte wird es auch geben.
Codieren bringt nix, das der Angriff wohl eher aus dem Forensystem heraus passiert ist. Da muss die Sicherheitslücke dort geschlossen werden, dann ist Schluss denke / hoffe ich.

spark · 30.06.2010, 12:21

macht es dann nicht eher sinn das forum erstmal runterzufahren, bis ne solide lösung gefunden ist?
muss ja nicht sein, dass hier reihenweise die pcs von usern verrecken?! -.-

Broso · 30.06.2010, 12:24

Olli

Du musst Deinen Rechner auf Viren, Malware und Rootkits durchforsten und alle die FTP zugang haben auch. Nutze verschiedene Tools zum aufspüren (Combo-Fix, aktuellen Virenscanner und z.B. Spybot Search and Destroy oder Malwarebytes' Anti-Malware, etc.)

Danach umgehend Passwörter ändern (vor allem FTP) ändern.

MFG

Schnorchel · 30.06.2010, 12:30

Zitat:

Zitat von Broso

ich tippe da eher auf russen oder die amis die hacken gerne denke nicht das hier einer so gut ist das zu schaffen...

Es gibt genügend Leute hir die es schaffen können, es währe auch gar nicht mal soooo schwer für jemannden der was auf nen Kasten hätte,

Olli · 30.06.2010, 12:32

@spark Einer der User hier war es ja, was bringt da runterfahren?

@Broso Hab ich alles schon gemacht. Alle PW geändert, und eine Datei gelöscht. Mal sehen ob es geholfen hat

30.06.2010, 12:44

Hoi, es wäre nett, wenn Du mir die Datei schicken könntest, die Du von dem Server gelöscht hast. Hast Du Logfiles von MySQL (evtl. PHPMyadmin) oder vom Forum selbst? Weiterhin wären Logiles vom Server sehr interessant. Vielen Dank. Bitte alles sichern, bevor Du Neuinstallierst um ggf. Logs nicht zu vernichten! Mfg

Olli · 30.06.2010, 13:00

1.6FSI Da hatte ich schon DEL gedrückt und beim drücken schon gedacht, das es vielleicht besser gewesen wäre die mal zu sichern.

Logs habe ich und Lade Sie dir zum Download mal in ein anderes Verzeichnis. Den Link gibt es dann als PN aber vorm WE schaffe ich das nicht, ich bin schon 5 Stunden zu spät zur Arbeit gerade wegen dem Mist. Vielleicht heute Nacht noch wenn ich es irgentwie einrichten kann

Broso · 30.06.2010, 13:01

@Olli

Bitte die Nächsten Schritte beachten. Lass die seite nochmal Prüfen.
Safe Browsing

Diagnoseseite für golf4.de

Wie ist die gegenwärtige Einstufung von golf4.de?

Diese Website ist als verdächtig eingestuft. Das Aufrufen dieser Website kann schädlich für Ihren Computer sein!
Ein Bestandteil dieser Website wurde in den letzten 90 Tagen 2 mal aufgrund verdächtiger Aktivitäten auf die Liste gesetzt.

Welche Befunde hat Google beim Besuch dieser Website festgestellt?

Bei 30 Seite(n) von insgesamt 288 Seiten dieser Website, die wir in den letzten 90 Tagen getestet haben, wurde festgestellt, dass Malware (Schadsoftware) ohne Einwilligung des Nutzers heruntergeladen und installiert wurde. Der letzte Besuch von Google auf dieser Website war am 2010-06-30 und verdächtiger Content wurde auf dieser Website zuletzt am 2010-06-30 gefunden.Malicious software includes 20 exploit(s), 15 ******ing exploit(s). Successful infection resulted in an average of 2 new process(es) on the target machine.
Die Malware wird in 3 Domain(s) gehostet, darunter cisubi.in/, bebebi.in/, gemidu.in/.
Bei der Verteilung von Malware an Besucher dieser Website fungieren anscheinend 2 Domain(s) als Überträger, darunter annou.serveirc.com/, esystem.serveirc.com/.
This site was hosted on 1 network(s) including AS44335 (NOCYO).

Hat diese Website als Überträger zur Weiterverteilung von Malware fungiert?

In den letzten 90 Tagen hat golf4.de anscheinend nicht als Überträger für die Infektion von Websites fungiert.

Hat diese Website Malware gehostet?

Nein, diese Website hat in den letzten 90 Tagen keine Malware gehostet.

Wie kam es zu dieser Einstufung?

Gelegentlich wird von Dritten bösartiger Code in legitime Websites eingefügt. In diesem Fall wird unsere Warnmeldung angezeigt.

Nächste Schritte:

Zur vorherigen Seite zurückkehren.
Falls Sie Eigner dieser Website sind, können Sie eine Überprüfung Ihrer Website mit den Google Webmaster-Tools anfordern. Weitere Informationen über den Prüfprozess erhalten Sie in der Hilfe für Webmaster.

Olli · 30.06.2010, 13:14

Ich lass die Prüfen, wenn ich sicher bin, das der weg ist. Vorher ist es ja ein zusätzlicher Schutz.

Broso · 30.06.2010, 13:25

Wenn du willst leih ich dir die Domain www.golf4-portal.de aus

Wollte ein Golf4 Forum machen aber dann habe ich das hier gefunden

Dann kannste vorrübergehend dahin ziehen

30.06.2010, 13:29

Alles klar, kein Problem. Geh lieber der Arbeit nach... Die Community schafft es auch mal drei Tage ohne das Forum.

MarcoMK4 · 30.06.2010, 13:52

Zitat:

Zitat von Olli

Ich denke auch das es keine Deutschen sind. Und mitlesen wohl auch eher nicht, das war eben Stufe 2 und die 3 tte wird es auch geben.
Codieren bringt nix, das der Angriff wohl eher aus dem Forensystem heraus passiert ist. Da muss die Sicherheitslücke dort geschlossen werden, dann ist Schluss denke / hoffe ich.

Die IP geht nach Litauen.

Pitty · 30.06.2010, 13:55

Zitat:

Zitat von MarcoMK4

Die IP geht nach Litauen.

DAS zu verschleiern und faken is aber auch nich so das prob...

MarcoMK4 · 30.06.2010, 14:07

Ja, die lieben proxys

Sheepy · 30.06.2010, 16:54

Also ich schließe mich an, die korrekte reaktion wäre das Forum offline schalten. Es erwartet ja auch niemand von dir das du deswegen deine Arbeit vernachlässigst oder dir die nächste um die ohren kloppst. Nur dann sollte man wegen der gefahr doch das Forum offline setzen.
Ich verabschiede mich hier noch schnell in 1 2 threads und dann bin ich ersmal raus bis Google und ich der Meinung sind das das hier sicher ist.

Darüber hinaus solltest du nicht nur das Forum neu aufsetzen, sondern auch den server, bzw. nen abbild von vor einigen tagen/wochen/monaten nehmen da er sich ja auch schon vor einige Zeit nen Backdoor eingerichtet haben könnte.

Golf4R · 30.06.2010, 17:03

also sollten wir als user erstmal abwarten ?

30.06.2010, 11:29	- 1
Olli Administrator Registriert seit: 13.12.2003 Golf IV Ort: Oldenburg OL-LI 110 Verbrauch: 6,2 Motor: 2.0 AZJ 85KW/115PS 05/01 - Beiträge: 2.370 Abgegebene Danke: 28 Erhielt 160 Danke für 43 Beiträge	Angriffe auf das Forum Heute wurde das Forum zum 2 ten Mal innnerhalb der Woche gehackt. Diesesmal wurde das Style in der Datenbank verändert un schadhafter Code eingebunden. Wie das genau sein kann weiß ich bislang nicht. Die Website ist inzwischen als Verdächtig eingestuft und solagne die Sicherheitslücke nicht vollständig geschlossen wurde lasse ich das auch erstmal so. Empfohlen wird die Verwendung von No s c ript (zusammenschreiben) und der Firefox. Dann sollte die Gefahr der Infizierung gegen Null gehen. Ich warte nun auf Hilfe von vBulletin, die ja solche Lücken schließen müssten. Am WE mache ich das Forum dann komplett neu, deswegen wird es wohl dann größere Ausfälle geben. Schade, das es solche Idioten gibt.

30.06.2010, 12:44	- 10
1.6FSI Gast Beiträge: n/a	Hoi, es wäre nett, wenn Du mir die Datei schicken könntest, die Du von dem Server gelöscht hast. Hast Du Logfiles von MySQL (evtl. PHPMyadmin) oder vom Forum selbst? Weiterhin wären Logiles vom Server sehr interessant. Vielen Dank. Bitte alles sichern, bevor Du Neuinstallierst um ggf. Logs nicht zu vernichten! Mfg Geändert von 1.6FSI (30.06.2010 um 12:48 Uhr)

30.06.2010, 13:01	- 12
Broso Erfahrener Benutzer Registriert seit: 14.04.2009 Golf IV Ort: Amsterdam Motor: 1.9 GT ASZ 96KW/130PS 04/01 - Beiträge: 261 Abgegebene Danke: 0 Erhielt 0 Danke für 0 Beiträge	@Olli Bitte die Nächsten Schritte beachten. Lass die seite nochmal Prüfen. Safe Browsing Diagnoseseite für golf4.de Wie ist die gegenwärtige Einstufung von golf4.de? Diese Website ist als verdächtig eingestuft. Das Aufrufen dieser Website kann schädlich für Ihren Computer sein! Ein Bestandteil dieser Website wurde in den letzten 90 Tagen 2 mal aufgrund verdächtiger Aktivitäten auf die Liste gesetzt. Welche Befunde hat Google beim Besuch dieser Website festgestellt? Bei 30 Seite(n) von insgesamt 288 Seiten dieser Website, die wir in den letzten 90 Tagen getestet haben, wurde festgestellt, dass Malware (Schadsoftware) ohne Einwilligung des Nutzers heruntergeladen und installiert wurde. Der letzte Besuch von Google auf dieser Website war am 2010-06-30 und verdächtiger Content wurde auf dieser Website zuletzt am 2010-06-30 gefunden.Malicious software includes 20 exploit(s), 15 ****ing exploit(s). Successful infection resulted in an average of 2 new process(es) on the target machine. Die Malware wird in 3 Domain(s) gehostet, darunter cisubi.in/, bebebi.in/, gemidu.in/. Bei der Verteilung von Malware an Besucher dieser Website fungieren anscheinend 2 Domain(s) als Überträger, darunter annou.serveirc.com/, esystem.serveirc.com/. This site was hosted on 1 network(s) including AS44335 (NOCYO). Hat diese Website als Überträger zur Weiterverteilung von Malware fungiert? In den letzten 90 Tagen hat golf4.de anscheinend nicht als Überträger für die Infektion von Websites fungiert. Hat diese Website Malware gehostet? Nein, diese Website hat in den letzten 90 Tagen keine Malware gehostet. Wie kam es zu dieser Einstufung? Gelegentlich wird von Dritten bösartiger Code in legitime Websites eingefügt. In diesem Fall wird unsere Warnmeldung angezeigt. Nächste Schritte:** Zur vorherigen Seite zurückkehren. Falls Sie Eigner dieser Website sind, können Sie eine Überprüfung Ihrer Website mit den Google Webmaster-Tools anfordern. Weitere Informationen über den Prüfprozess erhalten Sie in der Hilfe für Webmaster.

30.06.2010, 11:33	- 2
philippt8 - Jigsaw - Registriert seit: 09.08.2008 Golf IV 1,9 TDI Abt Ort: Augsburg Verbrauch: Diesel, Nerven und Luft.. Motor: 1.4 AHW 55KW/75PS ab 10/97 - Beiträge: 1.082 Abgegebene Danke: 0 Erhielt 0 Danke für 0 Beiträge	lass dein mysql codieren kostet etwas aber hilft gruß phil

30.06.2010, 12:02	- 3
spark Tachoumbau und mehr Registriert seit: 19.02.2009 Beiträge: 4.949 Abgegebene Danke: 29 Erhielt 171 Danke für 120 Beiträge	ich denke mal, dass derjenige hier auch fleißig mitliest, denn die reaktion auf das erste schließen der lücke kam ja sehr sehr schnell.. und wer, wenn nicht ein frustrierter interner hätte ernsthaft interesse daran, dem portal zu schaden...

30.06.2010, 12:06	- 4
Broso Erfahrener Benutzer Registriert seit: 14.04.2009 Golf IV Ort: Amsterdam Motor: 1.9 GT ASZ 96KW/130PS 04/01 - Beiträge: 261 Abgegebene Danke: 0 Erhielt 0 Danke für 0 Beiträge	ich tippe da eher auf russen oder die amis die hacken gerne denke nicht das hier einer so gut ist das zu schaffen...

30.06.2010, 12:14	- 5
Olli Administrator Registriert seit: 13.12.2003 Golf IV Ort: Oldenburg OL-LI 110 Verbrauch: 6,2 Motor: 2.0 AZJ 85KW/115PS 05/01 - Beiträge: 2.370 Themenstarter Abgegebene Danke: 28 Erhielt 160 Danke für 43 Beiträge	Ich denke auch das es keine Deutschen sind. Und mitlesen wohl auch eher nicht, das war eben Stufe 2 und die 3 tte wird es auch geben. Codieren bringt nix, das der Angriff wohl eher aus dem Forensystem heraus passiert ist. Da muss die Sicherheitslücke dort geschlossen werden, dann ist Schluss denke / hoffe ich.

30.06.2010, 12:21	- 6
spark Tachoumbau und mehr Registriert seit: 19.02.2009 Beiträge: 4.949 Abgegebene Danke: 29 Erhielt 171 Danke für 120 Beiträge	macht es dann nicht eher sinn das forum erstmal runterzufahren, bis ne solide lösung gefunden ist? muss ja nicht sein, dass hier reihenweise die pcs von usern verrecken?! -.-

30.06.2010, 12:24	- 7
Broso Erfahrener Benutzer Registriert seit: 14.04.2009 Golf IV Ort: Amsterdam Motor: 1.9 GT ASZ 96KW/130PS 04/01 - Beiträge: 261 Abgegebene Danke: 0 Erhielt 0 Danke für 0 Beiträge	Olli Du musst Deinen Rechner auf Viren, Malware und Rootkits durchforsten und alle die FTP zugang haben auch. Nutze verschiedene Tools zum aufspüren (Combo-Fix, aktuellen Virenscanner und z.B. Spybot Search and Destroy oder Malwarebytes' Anti-Malware, etc.) Danach umgehend Passwörter ändern (vor allem FTP) ändern. MFG

30.06.2010, 12:32	- 9
Olli Administrator Registriert seit: 13.12.2003 Golf IV Ort: Oldenburg OL-LI 110 Verbrauch: 6,2 Motor: 2.0 AZJ 85KW/115PS 05/01 - Beiträge: 2.370 Themenstarter Abgegebene Danke: 28 Erhielt 160 Danke für 43 Beiträge	@spark Einer der User hier war es ja, was bringt da runterfahren? @Broso Hab ich alles schon gemacht. Alle PW geändert, und eine Datei gelöscht. Mal sehen ob es geholfen hat

30.06.2010, 13:00	- 11
Olli Administrator Registriert seit: 13.12.2003 Golf IV Ort: Oldenburg OL-LI 110 Verbrauch: 6,2 Motor: 2.0 AZJ 85KW/115PS 05/01 - Beiträge: 2.370 Themenstarter Abgegebene Danke: 28 Erhielt 160 Danke für 43 Beiträge	1.6FSI Da hatte ich schon DEL gedrückt und beim drücken schon gedacht, das es vielleicht besser gewesen wäre die mal zu sichern. Logs habe ich und Lade Sie dir zum Download mal in ein anderes Verzeichnis. Den Link gibt es dann als PN aber vorm WE schaffe ich das nicht, ich bin schon 5 Stunden zu spät zur Arbeit gerade wegen dem Mist. Vielleicht heute Nacht noch wenn ich es irgentwie einrichten kann

30.06.2010, 13:14	- 13
Olli Administrator Registriert seit: 13.12.2003 Golf IV Ort: Oldenburg OL-LI 110 Verbrauch: 6,2 Motor: 2.0 AZJ 85KW/115PS 05/01 - Beiträge: 2.370 Themenstarter Abgegebene Danke: 28 Erhielt 160 Danke für 43 Beiträge	Ich lass die Prüfen, wenn ich sicher bin, das der weg ist. Vorher ist es ja ein zusätzlicher Schutz.

30.06.2010, 13:25	- 14
Broso Erfahrener Benutzer Registriert seit: 14.04.2009 Golf IV Ort: Amsterdam Motor: 1.9 GT ASZ 96KW/130PS 04/01 - Beiträge: 261 Abgegebene Danke: 0 Erhielt 0 Danke für 0 Beiträge	Wenn du willst leih ich dir die Domain www.golf4-portal.de aus Wollte ein Golf4 Forum machen aber dann habe ich das hier gefunden Dann kannste vorrübergehend dahin ziehen

Werbung

30.06.2010, 13:29	- 15
1.6FSI Gast Beiträge: n/a	Alles klar, kein Problem. Geh lieber der Arbeit nach... Die Community schafft es auch mal drei Tage ohne das Forum.

30.06.2010, 14:07	- 18
MarcoMK4 ...back to the roots Registriert seit: 18.08.2008 MK4 V6 4Motion Ort: Black Forest PF-GV6 Verbrauch: zu viel :D Motor: 2.8 BDE 150KW/204PS 05/01 - Beiträge: 1.895 Abgegebene Danke: 0 Erhielt 3 Danke für 1 Beitrag	Ja, die lieben proxys

30.06.2010, 16:54	- 19
Sheepy Veni Vidi Vrums Registriert seit: 30.10.2007 G4 TDI SE / Bora Variant TDI 4M / BMW E46 330i / Toyota MR2 W2 / Ford Escort / Chrysler Newport Ort: Paderborn PB - ? 1337 Verbrauch: 6 bis 25 Motor: 1.9 GT ASZ 96KW/130PS 04/01 - Beiträge: 6.976 Abgegebene Danke: 910 Erhielt 679 Danke für 492 Beiträge	Also ich schließe mich an, die korrekte reaktion wäre das Forum offline schalten. Es erwartet ja auch niemand von dir das du deswegen deine Arbeit vernachlässigst oder dir die nächste um die ohren kloppst. Nur dann sollte man wegen der gefahr doch das Forum offline setzen. Ich verabschiede mich hier noch schnell in 1 2 threads und dann bin ich ersmal raus bis Google und ich der Meinung sind das das hier sicher ist. Darüber hinaus solltest du nicht nur das Forum neu aufsetzen, sondern auch den server, bzw. nen abbild von vor einigen tagen/wochen/monaten nehmen da er sich ja auch schon vor einige Zeit nen Backdoor eingerichtet haben könnte.

30.06.2010, 17:03	- 20
Golf4R Erfahrener Benutzer Registriert seit: 29.12.2009 Golf 4 1.9 TDI / Tiguan 2.0 TDi R-line Ort: Hamburg Verbrauch: 7,xx Beiträge: 429 Abgegebene Danke: 0 Erhielt 0 Danke für 0 Beiträge	also sollten wir als user erstmal abwarten ?