• Herzlich willkommen im "neuen" DSLR-Forum!

    Wir hoffen, dass Euch das neue Design und die neuen Features gefallen und Ihr Euch schnell zurechtfindet.
    Wir werden wohl alle etwas Zeit brauchen, um uns in die neue Umgebung einzuleben. Auch für uns ist das alles neu.

    Euer DSLR-Forum-Team

  • In eigener Sache!

    Liebe Mitglieder, liebe Besucher und Gäste
    ich weiß, es ist ein leidiges Thema, aber ich muss es ansprechen: Werbung, Werbeblocker und Finanzierung des Forums.
    Bitte hier weiterlesen ...

  • DSLR-Forum Fotowettbewerb neu erfunden!
    Nach wochenlanger intensiver Arbeit an der Erneuerung des Formates unseres internen Fotowettbewerbes ist es Frosty als Moderator
    und au lait als Programmierer gelungen, unseren Wettbewerb auf ein völlig neues Level zu heben!
    Lest hier alle Infos zum DSLR-Forum Fotowettbewerb 2.0
    Einen voll funktionsfähigen Demowettbewerb kannst du dir hier ansehen.
  • Neuer Partner: AkkuShop.de
    Akkus, Ladegeräte und mehr (nicht nur) für Digitalkameras und Drohnen
  • Neuer Gutscheincode unseres Partners Schutzfolien24:
    DSLR-Forum2024
    Dauerhaft 10% Rabatt auf alle Displayschutzfolien der Eigenmarken "Upscreen", "Brotec", "Savvies".
    Der Code ist für alle Geräteklassen gültig.
  • Mitmachen beim DSLR-Forum Fotowettbewerb Mai 2024.
    Thema: "Diagonale"
    Jeden Monat attraktive Gewinnprämien, gesponsert von unserem Partner PixelfotoExpress.
    Alle Infos zum Mai-Wettbewerb hier!
WERBUNG

Forum schon wieder verseucht ?

Status
Für weitere Antworten geschlossen.
Als Workaround sicher brauchbar. Wir wollen trotzdem wissen, wie der Dreck da rein kommt. Und unser Forum ist ja nun beileibe nicht das einzige mit diesen Problemen.
 
Thunderclap schrieb:
Unwahrscheinlich... dann müssten die Exploits explizit von den Servern der Werbevermarkter kommen... denn die Werbung wird ja nicht über eine Schnittstelle von aussen "hineingeschoben", sondern vom Forum nur von definierten Servern abgeholt...
Zum Vergrößern anklicken....
Aber was ist, wenn sich ein Bösewicht erfolgreich als MITM zu einem der benutzten Werbeserver etablieren kann?
Dann holt sich das Forum den Schädling sogar selbst aufs System...
 
UliBär schrieb:
Aber was ist, wenn sich ein Bösewicht erfolgreich als MITM zu einem der benutzten Werbeserver etablieren kann?
Dann holt sich das Forum den Schädling sogar selbst aufs System...
Zum Vergrößern anklicken....

Das wäre ja leicht zu überprüfen. Man müsste halt nur die Werbung für einige Tage deaktivieren. Dürfte allerdings zu erheblichen Einnahmeverlusten führen.....
 
UliBär schrieb:
Aber was ist, wenn sich ein Bösewicht erfolgreich als MITM zu einem der benutzten Werbeserver etablieren kann?
Dann holt sich das Forum den Schädling sogar selbst aufs System...
Zum Vergrößern anklicken....

Hier sind ja recht grosse Werbehoster vertreten.... wären die kompromittiert, dann wären hunderttausende von Webseiten in Deutschland betroffen...
 
Am besten das Forum mal nen paar Tage abschalten und dann gründlich suchen/beheben...als alle paar Stunden die gleichen Probleme und immer mehr infizierte User...
 
Thunderclap schrieb:
Hier sind ja recht grosse Werbehoster vertreten.... wären die kompromittiert, dann wären hunderttausende von Webseiten in Deutschland betroffen...
Zum Vergrößern anklicken....
Denke ich nicht, sondern nur die vBulletin-Boards mit der noch unbekannten Lücke, aber wurde ja schon ausprobiert.

Daher mein Tip zur Behebung auf Client-Seite bis die Lücke gefunden ist:
Ein Addon installieren, daß dauerhaft iframes blockiert.
Das vorhin angegebene Plugin tut das leider nach Prüfung nicht automatisch... :(
 
Zuletzt bearbeitet:
okay das würde aber bedeuten das die betreiber hier weiterhin alle user die diesen thread noch nicht gelesen haben, bewusst der gefahr auf unbestimmte zeit aussetzen, ob das besser ist, weiß ich nicht...ne info, oder rundmail gabs glaube ich nicht.
 
Picturereport schrieb:
okay das würde aber bedeuten das die betreiber hier weiterhin alle user die diesen thread noch nicht gelesen haben, bewusst der gefahr auf unbestimmte zeit aussetzen, ob das besser ist, weiß ich nicht...ne info, oder rundmail gabs glaube ich nicht.
Zum Vergrößern anklicken....

Dieser Gefahr setzt sich jeder User aus, sobald er seinen PC mit dem Internet verbindet - völlig unabhängig von dem Besuch dieser Seite.
Da hilft nur der Schutz des eigenen PCs....
 
Frank-2.0 schrieb:
was ist hier los mit seite 23?
genau dort wird das problem näher besprochen. immer wenn ich auf diese eine seite gehe friert der IE ein und es kommt die sanduhr für ca. 20 sekunden. habe das mehrfach durchgespielt.

edit: habs eben nochmals versucht: ... "auf seite wird gewartet", dann einfrieren der seite, dann weißer bildschirm, dann sanduhr...
Zum Vergrößern anklicken....
Geht mir auch so, bei Seite 23 friert der Browser ein.
 
Wow...
Ich hab grade mal das Exploit-Script entschlüsselt und mal leserlich umgearbeitet...

Das ist ein echter Brocken was da bis vor kurzem verteilt wurde.... und echt clever gemacht.

Befallen wurde Systeme mit anfälligen Java-Versionen und bestimmten Versionen des Adobe Acrobat-Readers.... darüber hinaus wird auch noch auf die Ausführbarkeit von ActiveX-Elementen geprüft, ich sehe jetzt aber keine Stelle wo hier eine Lücke ausgenutzt werden würde.

Die Javaversionen nach denen der Exploit sucht sind
1,5,0,14
1,6,0,2
1,3,1,0
1,4,2,0
1,5,0,7

Beim Acrobat bevorzugt der Exploit keine bestimmte Version sondern probiert einfach aus...

Der Exploit klopft das System nach entsprechenden Lücken ab und nutzt dabei je nach verwendetem Browser unterschiedliche Methoden - Browserseitig gibt es also keine Präferenzen - das Ding kommt mit allem klar!

Das krasseste ist aber folgendes:
DAS TEIL BEFÄLLT AUCH APPLE-RECHNER!!! Es gibt zwei Tests in denen Explizit auf OS X abgeprüft wird!
("e.OS==2" ... in der OS-Liste ziemlich zu anfang ist 2 = Mac )
(Zeile 680 und 799)

Prinzipiell installiert das Teil alles was geht... je mehr Lücken offen sind, desto mehr bekomt der User verpasst...

Im Anhang mal der Sourcecode für interessierte... damit hier nichts von slebst ausgeführt wird, sicherheitshalber ausgedruckt als PDF
 
Zuletzt bearbeitet:
Thunderclap schrieb:
...
DAS TEIL BEFÄLLT AUCH APPLE-RECHNER!!! Es gibt zwei Tests in denen Explizit auf OS X abgeprüft wird!...
Zum Vergrößern anklicken....

Sorry, glaube ich nicht auf Anhieb.

Ich bin bisher mit meinen beiden Macbooks (MBA für unterwegs, älteres MBP am Schreibtisch), beide OS X 10.6.7 in keiner Weise gestört oder belästigt worden.

Sollte ich jetzt was tun???

Gruß
ewm
 
ewm schrieb:
Sorry, glaube ich nicht auf Anhieb.

Ich bin bisher mit meinen beiden Macbooks (MBA für unterwegs, älteres MBP am Schreibtisch), beide OS X 10.6.7 in keiner Weise gestört oder belästigt worden.

Sollte ich jetzt was tun???

Gruß
ewm
Zum Vergrößern anklicken....

Ja! ;)

Sinn und Zweck der kleinen Tierchen ist es ja eben, unentdeckt zu bleiben....
 
ewm schrieb:
Sorry, glaube ich nicht auf Anhieb.
Zum Vergrößern anklicken....

Das Script prüft jedenfalls darauf ab, ob jemand unter OS X und Safari eine entsprechende Java-Version verwendet....
Ob es diese Lücke ausnutzt kann ich nicht genau sagen...

Ach ja:
Mit Opera scheint man (vor diesem Schädling zumindest) sicher zu sein...
Gecheckt werden nur Gecko-Engines (Firefox), Chrome, Safari und generell auf aktives ActiveX (IE) - wobei der IE scheinbar hier ebenfalls sicher ist, sofern ActiveX abgeschaltet ist... auf Java oder Acrobat im IE wird gar nicht geprüft...
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
WERBUNG
Zurück
Oben Unten