Warnhinweis bei Avast

[hehol]

Der URL (bzw. die Subdomain) wechselt häufig. Ich hatte es seit gestern schon mit 3 verschiedenen URLs zu tun, die alle anders waren als der URL in deinem Screenshot.

Der URL wechselt, weil das von RalfFriedl gepostete JavaScript den DynDNS-Hostnamen abhängig von der Uhrzeit und der Webseite, von der das Script aufgerufen wird, verändert. So können die bösen Jungs gleich erkennen, auf welcher Webseite sie die Opfer eingefangen haben

Wir haben den verantwortlichen Werbebanner inzwischen identifiziert und vom Server entfernt! Außerdem scheint Dyndns die von den Angreifern genutzten Hostnamen gelöscht zu haben.

 

[Sandra-T]

Negativ, hab immer noch teilweise einen Zugriff von af6kw.dyndns.org feststellen können...

Gruß
Sandra

 

[Ecki-No1]

Ich hatte vorhin das Problem, dass ich in Crome und Firefox die Meldung bekam " Ihre IP Adresse wurde gesperrt, bitte wenden Sie sich an einen Adminstrator.

Hatte ich gestern auch, als ich nur ip-phone-forum.de aufrief. Bei www.ip-phone-forum.de dagegen erschien die IPPF-Seite. Da war doch gestern irgendwas im argen...

 

[SF1975]

Hallo,
Ich hatte gestern beim Zugriff auf das Forum eine Meldung, dass das Zertificat nicht zur Seite von Google.??? passen würde. Nach einem Abbruch konnte ich das Forum nicht mehr aufrufen. Erst nach Löschen des Caches und aller Cookies ging es wieder. Werde aber vom Handy aus keine Zugriffe mehr starten, da ich Da keinen Addblock o.a. habe. Am PC lasse ich die Werbung niet mitlaufen.

Ok, das Forum kostet, aber wenn es nun schon der 2. Vorfall über Google ist, sollte man ggf. andere Wege suchen/finden :noidea:

 

[PCusta]

Wir haben den verantwortlichen Werbebanner inzwischen identifiziert und vom Server entfernt! Außerdem scheint Dyndns die von den Angreifern genutzten Hostnamen gelöscht zu haben.

DANKE :groesste:

 

[NanoBot]

Vorab eine Frage / Vermutung:

Die torrent.exe installiert sich doch vermutlich in ein Verzeichnis unter C:, wo ein Standardbenutzer keine Schreibrechte hat, oder ist dem nicht so ?

Und aus dieser meist zutreffenden Vermutung folgt dann mein üblicher Hinweis: Arbeitet nicht als Admin und schaltet nicht die UAC unter Vista oder 7 aus. Die UAC gibt es ja nicht zum Spaß. Unter XP ist dann ein zweiter Benutzer ohne Adminrechte zusammen mit "surun" das Mittel der Wahl: http://kay-bruns.de/wp/software/surun/

Natürlich habe ich sowohl NoScript, als auch einen Virenscanner ( Bitdefender ) am laufen, wobei letzterer gar nicht angeschlagen hat, weil NoScript den Dreck ja schon geblockt hatte. Aber selbst wenn der Virenscanner mangels aktueller Definitionen mal versagen sollte ( 0-day exploit ), kann sich die Malware ja mangels Dateisystemrechten meist gar nicht installieren, wenn man ohne Adminrechte arbeitet. NoScript und fehlende Adminrechte sind natürlich unbequem, aber es erhöht die Sicherheit so erheblich, daß die Unbequemlichkeit immer in Hintergrund stehen sollte.

Ansonsten auch von mir als nicht Betroffenenem ein Danke an die User und Mods für die schnelle Meldung, gründliche Analyse und sehr zeitnahe Behebung des Problem.

C.U. NanoBot

 

[chked]

Die Torrent.exe installiert sich im Benutzerprofil unter Appdata, dort hat und braucht der "normale" Benutzer schon Schreibrechte.

 

[Sandra-T]

Dumm nur, wenn man tatsächlich Torrent Programme nutzt (wie ich z.B.) Da fällt so etwas nicht direkt auf.

Gruß
Sandra

 

[Lauser71]

Hallo,
ich bin vor ein paar Minuten beim Anmelden hier im Board von Privoxy gewarnt worden.
siehe Anhang.

 

[Sandra-T]

Da hat wohl jemand eine Fake-Adresse angelegt (ipphone-forum.de)....

Gruß
Sandra

 

[Lauser71]

Da hat wohl jemand eine Fake-Adresse angelegt (ipphone-forum.de)....

Hallo Sandra,
wenn ich aber oben auf dem Link Hier gehts weiter zum IP-Phone-Forum klicke lande ich wieder hier.

 

[DM41]

Das ist so, weil jemand eine Fake-Adresse angelegt hat.

Sprich: Jemand hat sich die Domain ipphone-forum.de gesichert und um z.B. namensrechtlichen Streitigkeiten (vermeintlich) aus dem Weg zu gehen, verlinkt er zu uns.
Ich nehme auch an, Du bist durch einen Verschreiber auf die Seite gelangt und nicht über ein Lesezeichen in Deinem Browser.

 

[Sandra-T]

Leider kann man dann auf so einer Zwischenseite auch böse Codes unterbringen, der Nutzer denkt dann, es ist vom offiziellen Forum.

@Admins/Mods: hat man eine Handhabe, gegen so eine Registrierung vorzugehen ?

Gruß
Sandra

 

[Lauser71]

Ich nehme auch an, Du bist durch einen Verschreiber auf die Seite gelangt und nicht über ein Lesezeichen in Deinem Browser.

Hallo DM41,
normal gehe ich über die Lesezeichen bei den Boards bei denen ich registriert bin.
Aber das ich kann jetzt nicht mehr zu 100 % sagen.

 

[DM41]

hat man eine Handhabe, gegen so eine Registrierung vorzugehen ?

Das kommt drauf an... ;-)
Ich bin aber ein Verfechter der These, dass sprechenden Menschen meist geholfen werden kann.
Dann erübrigt sich so manches "Vorgehen". Abmahner gibt's schon genug...

 

[SaschaBr]

Ist ja 'nen Ding! Mein Avast hat auch seit ein par Tagen gemeckert. Ich dachte schon meine Frau oder meine Kinder hätten meinen Rechner strubbelig gemacht. (Muss ich mwohl meine Vorwürfe gleich mal revidieren).
Und gut, dass ich vor einiger Zeit (zwei Monaten??) auf Avast umgestiegen bin, sonst hätte mich die "torrent.exe" wohl auch erwischt.

P.S.: Diesen Thread hier hatte ich hier aber nicht gefunden ...

 

[DM41]

Thema zu, da das eigentliche Problem erledigt ist.
Die Antiviren-Diskussion wandert nach "Allgemeines":
http://www.ip-phone-forum.de/showthread.php?t=245449