Verseuchte Seite
- Ersteller overdriverdh21
- Erstellt am
Ich habe dem Punkt erst keine große Bedeutung beigemessen, aber jetzt war ich neugierig. Ich dachte, er gehört einfach zur Werbung. Der Punkt war einfach regelmäßig da. Nun habe ich in der Hosts einmal folgendes eingetragen:
Seit geraumer Zeit klicker ich jetzt auf refresh, bzw. tacker auf F5 herum, aber der Punkt erscheint nicht mehr (zum Glück). Vieleicht bringt es ja etwas ...
Code:
127.0.0.1 ad.mozilpa.com
127.0.0.1 aaa.losnigerad.com
127.0.0.1 aaa.losnigerad.com/f/index.php
- Mitglied seit
- 17 Aug 2004
- Beiträge
- 23,070
- Punkte für Reaktionen
- 992
- Punkte
- 113
394...: Ja, das Kästchen meine ich
Ralf, was Du da auflistest, ist die php-Site, die unser Forum ausliefert. Dort ist für die Werbung jeweils ein iframe enthalten, welches durch OpenX mit Werbung gefüllt wird. Der Apache generiert daraus dann eine komplette PHP-Datei.
Scheinbar ist der OpenX-Server gehackt worden (Achtung: Nicht unser Server, sondern der von OpenX!) und liefert nun sporadisch*) Malware mit aus. Natürlich kommt beides zusammen als ein zusammenhängend generiertes php-Script bei Dir als User an, da das OpenX-Modul bei uns die Inhalte des OpenX-Servers On-The-Fly direkt mit einbindet.
*) Momentan habe ich zwar auch manchmal (nicht immer) das Kästchen, bekomme aber nichts ausgeliefert - das ist das Fatale an diesem Mist :Motz:
Ralf, was Du da auflistest, ist die php-Site, die unser Forum ausliefert. Dort ist für die Werbung jeweils ein iframe enthalten, welches durch OpenX mit Werbung gefüllt wird. Der Apache generiert daraus dann eine komplette PHP-Datei.
Scheinbar ist der OpenX-Server gehackt worden (Achtung: Nicht unser Server, sondern der von OpenX!) und liefert nun sporadisch*) Malware mit aus. Natürlich kommt beides zusammen als ein zusammenhängend generiertes php-Script bei Dir als User an, da das OpenX-Modul bei uns die Inhalte des OpenX-Servers On-The-Fly direkt mit einbindet.
*) Momentan habe ich zwar auch manchmal (nicht immer) das Kästchen, bekomme aber nichts ausgeliefert - das ist das Fatale an diesem Mist :Motz:
Kann man den Ball dann weiterspielen, damit sich die Server-Eigentümer/-admins darum kümmern?
ich hab mal das 'verseuchte' PDF abgefangen dass da u.a. ausgeliefert wird:
Analyse:
http://www.virustotal.com/analisis/4fb3010149e38e0dd44efb7756927c4858a320d9c3e8c30e1f6879ee7620e062-1278396992
Analyse:
http://www.virustotal.com/analisis/4fb3010149e38e0dd44efb7756927c4858a320d9c3e8c30e1f6879ee7620e062-1278396992
oder anders gesagt: nicht als 'admin' surfen ...
99% von diesem Zeug ist darauf angewiesen irgendwas nach 'system32' oder sonstige Systembereiche zu schreiben.
99% von diesem Zeug ist darauf angewiesen irgendwas nach 'system32' oder sonstige Systembereiche zu schreiben.
- Mitglied seit
- 17 Aug 2004
- Beiträge
- 23,070
- Punkte für Reaktionen
- 992
- Punkte
- 113
Da ist sowieso immer anzuraten. Ebenso sollte versucht werden statt des IE einen sichereren Browser zu nutzen. Leider zieht das nicht bei korrumpierten PDFs, die dann durch das Acrobat-Plugin doch den Weg ins System finden. Und damit sind wir wieder bei dem bequemen User, der leider immer alles als Admin macht.
Der erste Teil, den ich aufgelistet hatte, war aus dem HTML, das für die Seite (diese Seite) generiert wurde. Damit wird ein JavaScript nachgeladen, und zwar von diesem Server.
Was /ads/www/delivery/ajs.php tut, um die Ausgabe zu generieren, weiß ich natürlich nicht, aber es ist ein PHP-Skript, das bei Euch auf dem Server läuft.
Derzeit kommt da übrigens der iframe auf mozilpa.com nicht, sondern nur
HTML:
var OX_ac2085a6 = '';
document.write(OX_ac2085a6);Ihr könnt ja mal nachschauen, woher das Skript seine Eingaben bezieht, und vielleicht bei der Gelegenheit, wofür diese Konstruktion überhaupt gut sein soll. So wie es aussieht, ist dieses Skript nicht an der Anzeige der Werbung beteiligt.
- Mitglied seit
- 17 Aug 2004
- Beiträge
- 23,070
- Punkte für Reaktionen
- 992
- Punkte
- 113
@all:
Löscht doch mal bitte alle evlt vorhandene Cookies von mozilpa.com (ich habe bei mir im FF einen solchen gefunden).
"btomiumgop.com" und den neueren "losnigerad.com" haben zumindest bei mir keine Kekse hinterlassen. Sicherheitshalber bitte dort auch noch einmal nachschauen. Auch habe ich ein seltsames Cookie gefunden, welches von ip-phone-forum.de gesetzt wurde und auf den Namen OADSA hört.
Im Zweifelsfall einfach alle Cookies killen und neu anfangen zu sammeln. :mrgreen:
Den Cache löschen, wäre auch mal eine gute Idee.
Löscht doch mal bitte alle evlt vorhandene Cookies von mozilpa.com (ich habe bei mir im FF einen solchen gefunden).
"btomiumgop.com" und den neueren "losnigerad.com" haben zumindest bei mir keine Kekse hinterlassen. Sicherheitshalber bitte dort auch noch einmal nachschauen. Auch habe ich ein seltsames Cookie gefunden, welches von ip-phone-forum.de gesetzt wurde und auf den Namen OADSA hört.
Im Zweifelsfall einfach alle Cookies killen und neu anfangen zu sammeln. :mrgreen:
Den Cache löschen, wäre auch mal eine gute Idee.
Jupp, gemacht 
Hoffentlich bringt es etwas. Allerdings, wie oben beschrieben, taucht der Punkt nach Änderung der Hosts auch nicht mehr auf. Könnte sein, dass ihm damit die Grundlage entzogen ist. ... vorerst ...
Hoffentlich bringt es etwas. Allerdings, wie oben beschrieben, taucht der Punkt nach Änderung der Hosts auch nicht mehr auf. Könnte sein, dass ihm damit die Grundlage entzogen ist. ... vorerst ...Ich surfe generell nur mit FF und diversen Security/Privacy Addons (NoScript, ABP, BetterPrivacy, etc.) und zusätzlich Proxomitron mit einem restriktiven Filterpack in einer geforceten Sandbox (z. B. Sandboxie), die sich nach jedem Beenden des Browsers selbst zerstört.
Natürlich lässt sich auch eine Sandbox, wenn man darauf abzielen würde, immer irgendwie überwinden (0day exploits, etc.), aber sie bietet zumindest eine weitere Hürde für Schadsoftware - insbesondere wenn diese über normalerweise weniger restriktiv betriebene Drittprogramme wie z. B. PDF Viewer eingeschleust werden soll.
Wäre ich noch ein bisschen paranoider, dann würde ich das ganze noch in eine VM verlager, die nach jeder Session zu einem sicheren Snapshot reverted
Werbefinanzierte Projekte, die mir am Herzen liegen, werden selektiv ohne Blocking regelmäßig in einer VM aufgerufen.
Natürlich lässt sich auch eine Sandbox, wenn man darauf abzielen würde, immer irgendwie überwinden (0day exploits, etc.), aber sie bietet zumindest eine weitere Hürde für Schadsoftware - insbesondere wenn diese über normalerweise weniger restriktiv betriebene Drittprogramme wie z. B. PDF Viewer eingeschleust werden soll.
Wäre ich noch ein bisschen paranoider, dann würde ich das ganze noch in eine VM verlager, die nach jeder Session zu einem sicheren Snapshot reverted
Werbefinanzierte Projekte, die mir am Herzen liegen, werden selektiv ohne Blocking regelmäßig in einer VM aufgerufen.
Wundert mich ja schon etwas, dass man nicht die Keule auspackt und allen bekannt gefährlichen Servern hier das Anzeigen von Bannern verbietet.
Da es wohl noch nicht genannt wurde:
http://www.adblockplus.org/
Da es wohl noch nicht genannt wurde:
http://www.adblockplus.org/
Bibie
Aktives Mitglied
- Mitglied seit
- 4 Jul 2008
- Beiträge
- 2,872
- Punkte für Reaktionen
- 4
- Punkte
- 0
Hallöchen
Gestern, nachdem der Ratschlag von Novize kam, habe ich alle Cookies, den Verlauf und die Temporären Internetdateien gelöscht, danach habe ich keine Warnmeldung mehr von avast! erhalten. (Die Cookies hatte ich bisher immer behalten.) Auch heute noch nicht, seit mein PC online ist. Ich will ja nix beschreien, aber hier siehts ruhig aus...
Gestern, nachdem der Ratschlag von Novize kam, habe ich alle Cookies, den Verlauf und die Temporären Internetdateien gelöscht, danach habe ich keine Warnmeldung mehr von avast! erhalten. (Die Cookies hatte ich bisher immer behalten.) Auch heute noch nicht, seit mein PC online ist. Ich will ja nix beschreien, aber hier siehts ruhig aus...
- Mitglied seit
- 17 Aug 2004
- Beiträge
- 23,070
- Punkte für Reaktionen
- 992
- Punkte
- 113
Die besagten Cookies sind aber keine Malware, die sind nur für die Einblendung der Malware gesetzt worden...
Das OADSA-Cookie hat nur den Inhalt "1" und eine Gültigkeitsdauer von 3600 Sek gehabt. Dies spielte nur eine Rolle für das erneute Aufrufen der Malware-Site...
Wir (im speziellen rajo) haben ein php-Script isolieren können, indem dies gesteuert wurde.
Details kommen später, wenn wir die Lücke komplett geschlossen haben
Das OADSA-Cookie hat nur den Inhalt "1" und eine Gültigkeitsdauer von 3600 Sek gehabt. Dies spielte nur eine Rolle für das erneute Aufrufen der Malware-Site...
Wir (im speziellen rajo) haben ein php-Script isolieren können, indem dies gesteuert wurde.
Details kommen später, wenn wir die Lücke komplett geschlossen haben
Bibie
Aktives Mitglied
- Mitglied seit
- 4 Jul 2008
- Beiträge
- 2,872
- Punkte für Reaktionen
- 4
- Punkte
- 0
Dankeschööön!Wir (im speziellen rajo) haben ein php-Script isolieren können, indem dies gesteuert wurde.
Details kommen später, wenn wir die Lücke komplett geschlossen haben
Neueste Beiträge
-
QR Code im Display vom FritzPhone! ; )- Letzte: whn
-
Telefonnummern Telekom von anderem Standort auf Telefonanlage per VPN anbinden.
- Letzte: ZeusTerminator
-
FRITZ!Box 6690-Cable Labor+Inhaus FW
- Letzte: mainufer
-
[Info] Neue Gigaset Tischtelefone (VoIP, Pro Serie) ab 2025- Letzte: chrsto
-
