Forum infiziert!

[abc-truppe]

Daran wird derzeit gerade gearbeitet :)
Backdraft ist schon dran!

[bastelheini]

achso:)


gut dann hör ich auf mit nerven:D

[Backdraft007]

21. Juli 2009

Wir erhalten in letzter Zeit vermehrt Hinweise, dass sich Benutzer in Foren registrieren und Javaskript-Code in ihre Beiträge schreiben. Ziel dabei ist, dass Leser dieser Beiträge aufgefordert werden, angebliche Browser-Plug-in-Updates (z.B. von Flash) zu installieren und dazu auf täuschend echt aussehende Herstellerseiten weitergeleitet werden. Dabei wird dann kein Update, sondern ein Trojaner installiert.
Ein auffälliger Benutzername, der solche Beiträge in letzter Zeit schreibt, ist AnaJu.

Erfolgreich ist dieser Angriff nur, wenn Benutzern erlaubt ist, HTML-Code im Forum zu speichern.
vBulletin ist standardmäßig so konfiguriert, dass von Benutzern eingegebener HTML-Code nicht ausgeführt wird und diese Art von Angriff auf Ihre Benutzer somit wirkungslos ist.

Wenn Sie nicht sicher sind, ob HTML-Code erlaubt ist oder nicht, sollten Sie die folgenden Einstellungen überprüfen:

vBulletin-Einstellungen -> Benutzer: Notizen

vBulletin-Einstellungen -> Texte: BB-Code

vBulletin-Einstellungen -> Benutzer: Private Nachrichten

vBulletin-Einstellungen -> Projektverwaltung (falls vorhanden)

Foren & Moderatoren -> Foren verwalten -> Alle Foren überprüfen

Kalender -> Kalender verwalten -> Alle Kalender überprüfen

Benutzergruppen -> Benutzergruppen verwalten -> Signaturen und Blog (falls vorhanden)



Ihr vBulletin-Germany Team

Also wie gesagt, HTML ist komplett deaktiviert. Ob es für einzelne Gruppen schaltbar wird, weiß ich noch nicht.

[Pipsi]

Hats doch was gebracht, dass ich Herrn AnaJu mal bei VBulettin angesch**** hab
Ich konts mir nicht verkneifen zumal er mir noch in anderen Foren vor die Flinte gekommen ist.... Aber scheint ja gut aufgefallen zu sein, der Vogel. Hoffentlich ist nun Ruhe!
(Solange trotz der geänderten Einstellungen meine Smilies noch gehen, iss alles in Ordnung...)

[Firefighter Heiti]

Ein Hoch auf Pipsi

P.S.: Die Smileys werden auch über BB-Code eingefügt ;) versuchst du die per HTML einzubinden gehts nicht .

[ZickZack]

Hats doch was gebracht, dass ich Herrn AnaJu mal bei VBulettin angesch**** hab
Ich konts mir nicht verkneifen zumal er mir noch in anderen Foren vor die Flinte gekommen ist.... Aber scheint ja gut aufgefallen zu sein, der Vogel. Hoffentlich ist nun Ruhe!
(Solange trotz der geänderten Einstellungen meine Smilies noch gehen, iss alles in Ordnung...)

Ohne Dich enttäuschen zu wollen: AnaJu ist ein Bot und keine reale Person. Der Bot ist auch nicht wegen Deines Hinweises aufgeflogen sondern kursiert schon seit längerem in sämtlichen vBulletin-Foren.

[MasterOfFire]

Hats doch was gebracht, dass ich Herrn AnaJu mal bei VBulettin angesch**** hab
Ich konts mir nicht verkneifen zumal er mir noch in anderen Foren vor die Flinte gekommen ist.... Aber scheint ja gut aufgefallen zu sein, der Vogel. Hoffentlich ist nun Ruhe!
(Solange trotz der geänderten Einstellungen meine Smilies noch gehen, iss alles in Ordnung...)

und der blink smilly ist ja mal voll augenkrebs beschleunigend ^^

das musste jetzt sien :-)

[Newty]

Ohne Dich enttäuschen zu wollen: AnaJu ist ein Bot und keine reale Person. Der Bot ist auch nicht wegen Deines Hinweises aufgeflogen sondern kursiert schon seit längerem in sämtlichen vBulletin-Foren.

Falsch, AnaJu macht sein Zeug manuell. Seine Beiträge hatten immer einen Bezug zum Thread, auch wenn der Inhalt gegen Null geht.

Im Münzforum sagte er "tolle münzen" - bei uns gings um nen Lehrgang oder Training, hier sagte, dass er das auch gemacht hat. Von daher geht der manuell die Foren durch... :D

[abc-truppe]

Dachte ich mir auch, da die Inhalte immer threadbezogen waren, egal in welchem Forum!

Hat irgendeiner eine Ahnung, welcher Virus/Trojaner/sonstwas hinter der Datei gesteckt hat? Der Herr Kaspersky hat sich nämlich nicht gerührt.

[Newty]

Hat irgendeiner eine Ahnung, welcher Virus/Trojaner/sonstwas hinter der Datei gesteckt hat? Der Herr Kaspersky hat sich nämlich nicht gerührt.

Das war ein ordinärer, sog. Dropper. Dieser ist relativ klein, kann mit weiterer Software gekoppelt werden und lädt dann - vom Ersteller spezifizierte - Daten nach, die die eigentliche Schadroutine beinhalten.

Mit dem Ding an sich hab ich mich nicht weiter befasst, ich wette aber, es wird ein Botnetz dahinter stehen. Da der Autor auch andere Foren, in denen prinzipbedingt weniger geballt "Geheimnisträger" auftauchen kompromittiert hat, gehe ich nicht von einer echten Trojaner-Schnüffelattacke zum Erhalt von BOS-Informationen aus.

[ZickZack]

Also irgendwas ist da definitiv im Busch. Ich kann nur von meinem Forum sagen, dass in den letzten Wochen mehrmals die .htaccess von aussen ausgetauscht wurden, die dann jeden Zugriff von meiner Seite auf einen Server mit Schadsoftware weiterleitete. Dort wurde versucht ein Exploit auszuführen. Ich kann mir bis heute nicht erklären wie das Passwort von meinem FTP-Zugang geknackt werden konnte.

Interessanter weise waren nur alle Verzeichnisse betroffen, die nicht zum Forum gehörten. Das Forum bliebt also verschont. Welche Taktik dahinter steckt ist mir schleierhaft.

Seit ich das FTP-Passwort nun auf ein 20stelliges mit Buchstaben/Zahlen/Zeichen geändert habe ist nun erstmal wieder ruhe.

[Pipsi]

und der blink smilly ist ja mal voll augenkrebs beschleunigend ^^

das musste jetzt sien :-)

Ich find den gut....

Ohne Dich enttäuschen zu wollen: AnaJu ist ein Bot und keine reale Person. Der Bot ist auch nicht wegen Deines Hinweises aufgeflogen sondern kursiert schon seit längerem in sämtlichen vBulletin-Foren.

- Aber wenn wir alle so einem Treiben nur zusehen würden, was wäre dann???? Daher kann bei einem soooo massiven Auftreten eine kurze Nachricht an den "Hersteller" ja nicht schaden um ein eventuelles "Sicherheitsleck" zu flicken. DU kannst ja weiter gerne zusehen...

Naja, und das AnaJu kein Bot ist - darüber brauchen wir nicht zu streiten. Ansonsten wäre es ein recht kreativer Bot....