Forum infiziert!

[ZickZack]

Hats doch was gebracht, dass ich Herrn AnaJu mal bei VBulettin angesch**** hab
Ich konts mir nicht verkneifen zumal er mir noch in anderen Foren vor die Flinte gekommen ist.... Aber scheint ja gut aufgefallen zu sein, der Vogel. Hoffentlich ist nun Ruhe!
(Solange trotz der geänderten Einstellungen meine Smilies noch gehen, iss alles in Ordnung...)

Ohne Dich enttäuschen zu wollen: AnaJu ist ein Bot und keine reale Person. Der Bot ist auch nicht wegen Deines Hinweises aufgeflogen sondern kursiert schon seit längerem in sämtlichen vBulletin-Foren.

[Newty]

Ohne Dich enttäuschen zu wollen: AnaJu ist ein Bot und keine reale Person. Der Bot ist auch nicht wegen Deines Hinweises aufgeflogen sondern kursiert schon seit längerem in sämtlichen vBulletin-Foren.

Falsch, AnaJu macht sein Zeug manuell. Seine Beiträge hatten immer einen Bezug zum Thread, auch wenn der Inhalt gegen Null geht.

Im Münzforum sagte er "tolle münzen" - bei uns gings um nen Lehrgang oder Training, hier sagte, dass er das auch gemacht hat. Von daher geht der manuell die Foren durch... :D

[abc-truppe]

Dachte ich mir auch, da die Inhalte immer threadbezogen waren, egal in welchem Forum!

Hat irgendeiner eine Ahnung, welcher Virus/Trojaner/sonstwas hinter der Datei gesteckt hat? Der Herr Kaspersky hat sich nämlich nicht gerührt.

[Newty]

Hat irgendeiner eine Ahnung, welcher Virus/Trojaner/sonstwas hinter der Datei gesteckt hat? Der Herr Kaspersky hat sich nämlich nicht gerührt.

Das war ein ordinärer, sog. Dropper. Dieser ist relativ klein, kann mit weiterer Software gekoppelt werden und lädt dann - vom Ersteller spezifizierte - Daten nach, die die eigentliche Schadroutine beinhalten.

Mit dem Ding an sich hab ich mich nicht weiter befasst, ich wette aber, es wird ein Botnetz dahinter stehen. Da der Autor auch andere Foren, in denen prinzipbedingt weniger geballt "Geheimnisträger" auftauchen kompromittiert hat, gehe ich nicht von einer echten Trojaner-Schnüffelattacke zum Erhalt von BOS-Informationen aus.

[ZickZack]

Also irgendwas ist da definitiv im Busch. Ich kann nur von meinem Forum sagen, dass in den letzten Wochen mehrmals die .htaccess von aussen ausgetauscht wurden, die dann jeden Zugriff von meiner Seite auf einen Server mit Schadsoftware weiterleitete. Dort wurde versucht ein Exploit auszuführen. Ich kann mir bis heute nicht erklären wie das Passwort von meinem FTP-Zugang geknackt werden konnte.

Interessanter weise waren nur alle Verzeichnisse betroffen, die nicht zum Forum gehörten. Das Forum bliebt also verschont. Welche Taktik dahinter steckt ist mir schleierhaft.

Seit ich das FTP-Passwort nun auf ein 20stelliges mit Buchstaben/Zahlen/Zeichen geändert habe ist nun erstmal wieder ruhe.