• Herzlich willkommen im "neuen" DSLR-Forum!

    Wir hoffen, dass Euch das neue Design und die neuen Features gefallen und Ihr Euch schnell zurechtfindet.
    Wir werden wohl alle etwas Zeit brauchen, um uns in die neue Umgebung einzuleben. Auch für uns ist das alles neu.

    Euer DSLR-Forum-Team

  • In eigener Sache!

    Liebe Mitglieder, liebe Besucher und Gäste
    ich weiß, es ist ein leidiges Thema, aber ich muss es ansprechen: Werbung, Werbeblocker und Finanzierung des Forums.
    Bitte hier weiterlesen ...

  • DSLR-Forum Fotowettbewerb neu erfunden!
    Nach wochenlanger intensiver Arbeit an der Erneuerung des Formates unseres internen Fotowettbewerbes ist es Frosty als Moderator
    und au lait als Programmierer gelungen, unseren Wettbewerb auf ein völlig neues Level zu heben!
    Lest hier alle Infos zum DSLR-Forum Fotowettbewerb 2.0
    Einen voll funktionsfähigen Demowettbewerb kannst du dir hier ansehen.
  • Neuer Partner: AkkuShop.de
    Akkus, Ladegeräte und mehr (nicht nur) für Digitalkameras und Drohnen
  • Neuer Gutscheincode unseres Partners Schutzfolien24:
    DSLR-Forum2024
    Dauerhaft 10% Rabatt auf alle Displayschutzfolien der Eigenmarken "Upscreen", "Brotec", "Savvies".
    Der Code ist für alle Geräteklassen gültig.
  • Mitmachen beim DSLR-Forum Fotowettbewerb Mai 2024.
    Thema: "Diagonale"
    Jeden Monat attraktive Gewinnprämien, gesponsert von unserem Partner PixelfotoExpress.
    Alle Infos zum Mai-Wettbewerb hier!
WERBUNG

Forum schon wieder verseucht ?

Status
Für weitere Antworten geschlossen.
Ui nun auch zum allererstenmal bei mir das iframe ist deutlich links oben am logo zu sehen
 
Bei mir hat er beim Seitenaufbau merkwürdige Sachen geladen und die Java- Konsole angeschmissen. Da ich wenig Schimmer habe- was ist zu tun? Lasse gerade Antivir rüberölen.
 
Ich kann es bestätigen, auch bei mir meldet sich AVG mit einer Bedrohung.

Vorschlag: Forum schnellstens vom Netz nehmen!
 
Steffen Rentsch schrieb:
Allerdings hat die neueste Version nicht unbedingt die gleiche Systemstabilität wie die "ältere" - ein Umstand, worauf ein großes und auf Hochverfügbarkeit ausgerichtetes Forum tunlichst achten muss.

LG Steffen
Zum Vergrößern anklicken....

Ist das so? http://forums.vwvortex.com/
 
Siggi242 schrieb:
Bei mir hat er beim Seitenaufbau merkwürdige Sachen geladen und die Java- Konsole angeschmissen. Da ich wenig Schimmer habe- was ist zu tun? Lasse gerade Antivir rüberölen.
Zum Vergrößern anklicken....

Wenn du damit fertig bist, Antivir in die Tonne und AVAST! installieren. Es kann auch nichts schaden, wenn du dann noch ThreatFire und Sypybot - Search & Destroy installierst...
 
scorpio schrieb:
Das IFrame wurde eliminiert.


Der Code wurde direkt vor das Logo ins Header-Template gebastelt. Problem: Im Header-Template ist der Code nicht zu finden. Im Quelltext steht er aber.
Speichert man das Template einfach ohne Änderungen neu ab, ist das IFrame weg.

Und nun die Preisfrage, die niemand beantworten kann: Wie kommt der Mist da hin?
Dateien wurden - wie beim ersten Mal am 1.Mai - nicht verändert, in den Logs steht nichts, die Datei-Überwachung wirft auch nichts aus, die vB-Dateien sind alle ok. Direkt über die Server kommt auch nichts, alle Zugangspasswörter wurden in den letzten Wochen mehrfach geändert.


Was zum Geier passiert da?
Zum Vergrößern anklicken....
Hast du die Datenbank auch überprüft?
 
Das ist uns alles klar, ja. Da ist aber nichts.
Es muss auf irgend einem Weg der Template-Cache manipuliert werden. Aber wie?
 
Zuletzt bearbeitet:
Torsten_B schrieb:
Schon mal über eine SQL-Injection nachgedacht?
Zum Vergrößern anklicken....

Da oben im Header kommt keinerlei Inhalt aus der Datenbank...

Per SQL-Injection könnte man Inhalte manipulieren die tatsächlich auch aus der DB kommen, der Header steht aber im Template (=ASCII-File)!

@Scorpio:
Kann man den Template-Cache vom Forum deaktivieren, so dass die Forensoftware direkt auf das Template zugreift? Das Forum wäre so etwas langsamer, aber eine Mögliche Lücke könnte geschlossen werden...
 
Zuletzt bearbeitet:
ist denn bekannt, ob bzw. welche Schäden verusacht wurden?
Hatte vorhin auch Porbleme beim aufrufen dieses Forums. Danach wurden mir alle Logins rausgeschmissen. Außerdem wurde auf dem Desktop eine .exe Datei angezeigt, war aber gleich wieder weg. Antivir hat nichts gemeldet.
 
scorpio schrieb:
Es muss auf irgend einem Weg der Template-Cache manipuliert werden. Aber wie?
Zum Vergrößern anklicken....
*Das* ist doch mal eine äußerst interessante neue Aussage! (y)

Dann ergibt es nämlich auch Sinn, daß durch ein simples (neues) Abspeichern der eigentlich *unveränderten* Datei die Manipulation beseitigt wird. Aufgrund des aktuelleren Dateidatums wird der Inhalt des Caches durch den aktuellen (aber unveränderten) Dateiinhalt ersetzt. Was sagt den vBulletin zu diesen Neuigkeiten?

Übrigens mein Verdacht für das Einfallstor:
Das Interface, über das interaktiv externe Werbung im Forum eingeblendet wird...
 
sam fisher schrieb:
ist denn bekannt, ob bzw. welche Schäden verusacht wurden?
Zum Vergrößern anklicken....

Wie immer in letzter Zeit:
Schäden am Forum: keine
Schäden an den Userrechnern: Abhängig von der Absicherung zwischen Null und komplett kompromittiertes System...

Wenn du zwischenzeitlich eine unbekannte Exe auf dem Desktop hattest, dann konnte irgend etwas auf dein Filesystem zugreifen --> System neu aufsetzen bzw. Image einspielen!

Ich hab übrigens mal etwas "herumanalysiert"... der Exploit den die Clients bekommen ist diesmal ein komplett anderer als die letzten Male...
Letztes Mal wurde direkt versucht, Code über JRE auszuführen...
Diesmal wird ein recht grosses Javascript (78kb!) geladen, das intern überwiegend einen langen Textstring ehnthält und eine ziemlich vertrackte Routine (absichtlich so zerhackstückt dass man sie kaum nachvollziehen kann (Obfuscator?)), die diesen String in ausführbaren Code übersetzt...
Welche Lücke auf den Clients ausgenutzt wird, um diesen Code auch auszuführen versuche ich noch herauszufinden...
Ich werd mir jetzt erst einmal das Javascript etwas manipulieren, damit es mir den Code ausgibt ohne ihn direkt auszuführen, so dass ich ihn analyieren kann....

UliBär schrieb:
Übrigens mein Verdacht für das Einfallstor:
Das Interface, über das interaktiv externe Werbung im Forum eingeblendet wird...
Zum Vergrößern anklicken....

Unwahrscheinlich... dann müssten die Exploits explizit von den Servern der Werbevermarkter kommen... denn die Werbung wird ja nicht über eine Schnittstelle von aussen "hineingeschoben", sondern vom Forum nur von definierten Servern abgeholt...
 
Zuletzt bearbeitet:
Thunderclap schrieb:
Per SQL-Injection könnte man Inhalte manipulieren die tatsächlich auch aus der DB kommen
Zum Vergrößern anklicken....

hmmmm

Eine weniger bekannte Variante stellt gleichzeitig die potenziell gefährlichste dar. Wenn der Datenbankserver die Kommandos SELECT … INTO OUTFILE beziehungsweise SELECT … INTO DUMPFILE unterstützt, können diese Kommandos dazu benutzt werden, Dateien auf dem Dateisystem des Datenbankserver abzulegen. Theoretisch ist es dadurch möglich, falls das Bibliotheksverzeichnis des Betriebssystems oder des Datenbankservers für denselben beschreibbar ist (wenn dieser zum Beispiel als root läuft), einen beliebigen Code auf dem System auszuführen.
Zum Vergrößern anklicken....

Mehr: http://de.wikipedia.org/wiki/SQL-Injection


Ich schließe aber nicht aus, das falsch verstanden zu haben, bin kein Experte, nur User.
 
scorpio schrieb:
Nein. :(
Zum Vergrößern anklicken....

Hmm.. ist es immer die selbe Datei/die selben Dateien im Template?

Man könnte dann wirklich hergehen und per cronjob jede Minute ein "touch" auf diese Templatefiles ausführen lassen.... das Änderungsdatum wäre damit jede Minute aktueller als im Cache und das File würde neu geholt...

Alternativ jede Minute den Cache leeren...

Bei einem neuen Befall des Forums wäre spätestens nach einer Minute alles wieder ok!
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
WERBUNG
Zurück
Oben Unten