Erreichbarkeit

[slowman]

Hallo Wasserratte,

eine gefakte Seite ist das zunächst einmal nicht. filestore ist eine art Cloud, in der ich alles zum Download anbieten kann. Der Link, auf den umgeleitet wird, ist aber mit Sicherheit keine seriöse Datei sondern wird irgendetwas in der Richtung unternehmen, wie Du schon schilderst.
Was viel bedenklicher ist, ist die Tatsache dass sich jemand unbefugtes Zugang zum Server des Forums verschafft hat und dann natürlich auch andere Dinge hinterlassen kann, wenn er es dann möchte. Ich hatte in diesem Thread zu dieser Thematik ja schon einiges geschrieben.
Für den Betreiber dieses Forums kann ganz schnell ein großes Problem entstehen, wenn nachweislich durch den Hack jemanden ein finanzieller Schaden entsteht, weil beispielsweise durch einen Trojaner, den sich derjenige durch das kompromittierte Forum eingefangen hat, Kreditkartendaten abgeschnorchelt wurden. Für einen solchen Fall steht in der Gesetzgebung der Betreiber in der vollen Haftung auf Schadenersatz.
Es gibt genug Trojaner und Rootkits, die jeden gewöhnlichen Virenscanner einfach umgehen, somit merkt man so etwas selber noch nicht einmal.
Es muss hier 1. Die Lücke / Ursache des Einbruchs gefunden werden ( das geht ganz gut über die Serverlogfiles ), danach die Lücke geschlossen werden und letztendlich entsprechend gehandelt werden ( z.B. saubere Sicherung einspielen ). Die Thematik der Bereinigung ist ziemlich komplex...

gruß

Chris

[Michael Felten]

Warum löst vBulletin nicht das Problem. Gruß Michael.

[slowman]

Hallo leyanis,

wenn dann das Problem an vBulletin liegt.......
So ein hack kann diverse bis ungezählte Ursachen haben. Die meisten solcher Hacks passieren durch:

a) nicht aktuelle Software, d.h. das die hier verwendete Version von vBulletin nicht die Neueste ist, bzw. Sicherheitsupdates nicht eingespielt wurden ( kann ich aber nicht beurteilen ), es müssen auch zusätzlich installierte Erweiterungen immer geupdated werden.
b) falsch konfigurierter Server ( sollte aber, wenn es ein managed Server oder Webspace bei einem grossen Anbieter ist nicht vorkommen, bei einem Root - server, der vom netten Nachbarn administriert wird kann das eher passieren )
c) "zero - day" - Exploit: das heisst, es wurde ein hack über eine Sicherheitslücke durchgeführt, für die es von vBulletin noch kein Update gab oder das Update gerade in Arbeit war
d) Trojaner bzw. Keylogger auf dem PC eines Admins, über die FTP - Zugangsdaten ( also server Zugang ) erlangt wurde. damit kann ich alles und jenes auf dem server oder Webspace veranstalten

das sind so die gängisten Dinge, über die so etwas passiert.

Gruß

Chris

[Gamperdona]

ok soweit. ich habe bis jetzt null Probs mit viren & trojas, malware etc ! Geschweige denn das ich mir diese über das Forum hier eingefangen hätte...

Stephan

[Rolf Gertsch]

@ Gamperdona

Ich sehe das wesentlich anders: Jedesmal wenn ich das Forum anwähle meldet Norton: Web Attac von Malcious ware geblockt.

[c.rieper]

ich hab mein browser und die cockis gelöscht und neu raufgezogen und die sicherheitsstufe erhöt seit dem hab ich ruhe

[slowman]

Hallo,

@rolfgertsch: Genauso ist es bei mir, zumindest wenn ich das Forum über einen Link aus Google, also einem Suchergebnis heraussuche. es gibt auch Malware, die genau diesen Zweck erfüllt. bei einem Direktaufrauf einer Seite geht alles einwandfrei, rufe ich die seite aus Google heraus auf wird umgeleitet. Sinn und zweck des Ganzen ist, dass der Seitenbetreiber wenig merken soll. wer ruft schon seine eigene Seite aus Google heraus auf ?

@c.rieper: Wenn bei deinem Auto die Bremsen defekt sind, baust Du eine grosse Gummileiste analog einem Autoscooter daran und sagst "Das mindert den Aufprall" , genauso ist das von dir beschriebene Vorgehen im Bereich des Internets zu verstehen.

Fakt ist leider immer noch, dass hier etwas faul im Staate Dänemark ist und eigentlich etwas getan werden müsste. Die Seite wird auch als "hackbar" mit Sicherheit in einschlägigen Verzeichnissen in den Tiefen des I - Nets geführt und es besteht die Möglichkeit, dass ein anderer dunkler Zeitgenosse dort andere Dinge vorhat, als nur die momentane Umleitung. es klingt evtl. etwas "panisch", welche meinung ich hier verbreite, aber ich habe beruflich jeden Tag mit dynamischen PHP - Systemen ( auch das Forum ist ein solches System ) zu tun und habe gerade in dieser Hinsicht schon einige Dinge erlebt ( vor kurzem eine Seiteninfektion, bei der sogar für jede Android - Version ein kleiner Trojaner hinterlegt war, um auch die mobilen Seitenbesucher mit Ungemach zu beglücken ).
Na ja, mal schauen ob sich Gerhardt in nächster Zeit darum kümmert, das Problem ist ja schon lange genug bekannt.....

Gruß

Chris

[Gerhard]

Hallo,


Na ja, mal schauen ob sich Gerhardt in nächster Zeit darum kümmert, das Problem ist ja schon lange genug bekannt.....

Gruß

Chris

Hallo Chris
das sich keiner kümmert so ist es ja auch wieder nicht, nur lasse ich keinen "Fremden" an das heiligste. Da mein Sohn nicht wirklich was finden konnte bin ich auf der Suche nach einer bezahlbaren Lösung, bzw gibt es nur noch eine Möglichkeit, an die möchte ich nicht wirklich denken.

Gruß Gerhard

[Hartmut]

Hast du binnenschifferforum.de beim gleichen Hoster wie beim Forum, wenn ja kannste nich viel machen außer das Forum neu aufsetzen. (eigentlich trennt beides immer aber naja.)

Wenn es getrennt ist füge ganz oben im Forum eine index.html ein wie ich sie geschrieben habe und ruhe ist es mit dem Fehler.

Hier ist der Quelltext.

<html>
<head>
<link rel="Shortcut Icon" href="http://www.binnenschifferforum.de/favicon.ico" type="image/x-icon" />
<title>Binnenschifferforum</title>
<meta name="description" content="Binnenschifferforum">
<meta name="keywords" content="Forum für Interessierte der Binnenschifffahrt, das größte Forum Deutschlands rund um Binnenschiffe, ihre Besatzungen und die Wasserstraßen, auf denen sie fahren." />
</head>
<frameset rows="100%" framespacing="0" frameborder="0" border="0">
<frame src="http://www.binnenschifferforum.de" name="progframe" scrolling="auto" noresize frameborder="0" border="0">
<noframes>
<body>
Bitte klicke <a href="http://www.binnenschifferforum.de">hier</a>.
</body>
</noframes>
</frameset>
</html>

[slowman]

Hallo Hartmut,

Deine Lösung ist zwar gut und schön, aber mit iframes sperrst Du Google zunächst einmal so gut wie aus. Das Forum wird dann mittelfristig bei Suchanfragen im digitalen Nirwana verschwinden und das wäre doch recht schade.
Weiterhin ist es keine Lösung, sondern Du verhinderst im besten Falle die Symptome. Ich schrieb ja schon einmal: Wenn sich irgendwer Zugang zum Server verschafft haben sollte, kann er auch andere Dinge dort zukünftig hinterlegen. Bevorzugt werden mailscrips zum Versenden von Spam oder Pishing - Seiten hinterlegt. Mit deiner Lösung tritt zwar kein Fehler auf, aber der Server kann dann trotzdem weiter Ungemach treiben. Irgendwann landet dann der Server auf diversen Blacklisten und somit wird auch der Iframe irgendwann nicht mehr angezeigt, weil z.B. Firefox auch auf solche Blacklists zurückgreift.

Ob man das ganze Forum neu aufsetzen muss ist nicht sicher. Wenn Gerhardt eine brauchbare, unverseuchte Sicherung hat, kann man mit dieser arbeiten. Ansonsten bliebe die Alternative, das Web, also das Forum selber neu zu installieren. Das Template ( also das Aussehen des Forums ) wird überwiegend durch sog. css - Dateien gesteuert, die normalerweise nicht kompromittiert werden. Man kann diese also auch weiterverwenden. Beiträge u.ä. sind in der Datenbank hinterlegt, auch diese ist in den seltensten Fällen verseucht.
Normalerweise finden solche Hacks in den php - Dateien des Systems statt, weil dieses auch die ausführbaren Dateien sind.

Mich wundert auch, dass der Hoster bzw. Serverbetreiber nicht reagiert. Normalerweise sind auf einem Server Sicherheitsprogramme zur Malwareerkennung installiert, die irgendwann nach einiger Zeit bei solchen Dingen "Meldung machen". Im Normalfalle wird dann das Web gesperrt, bis alles wieder auf der sicheren Seite ist. Ich handele bei meinem Server, der diverse Hostingkunden trägt auch nicht anders. Sobald ein Kundenweb mit malware befallen ist, wird der Laden dicht gemacht bis alles wieder sauber ist. Dazu ist man indirekt gesetzl. verpflichtet und ausserdem bringt man dann "Bewegung in die Sache ", so dass seitens des Seitenbetreibers zügig gehandelt wird.

Es hilft keinem etwas, wenn Lösungen angeboten werden, die nur die Symptome unterdrücken. Ohne fundiertes Fachwissen zum interpretieren von Logfiles wird sich auch die Einbruchslücke nicht finden lassen.
Schauen wir einmal, was Gerhardt für einen Lösungsansatz findet.

Grüße

Chris