Hackerangriff

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • Hackerangriff

      Hallo,

      leider sind wir gestern Opfer eines Angriffs von Außen geworden. Jemand ist bei uns eingedrungen und hat Code an die Banner angehängt, der ggf. Viren nachladen könnte.

      Ich hoffe die Lücke geschlossen zu haben. Die schadhaften Codes habe ich entfernt. Das scheint gestern im größeren Stil passiert zu sein. Jedenfalls habe ich noch mehrere andere Betroffene gefunden.

      !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
      Bitte leert unbedingt eure temporären Internetdateien und Browsercaches und lasst einen Virenscanner über eure Platte laufen.
      !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

      Ich werde das die nächsten Tage im Auge behalten.

      Sorry.

      Stefan
    • Re: Hackerangriff

      Mein Beileid.
      Muttu wohl Upgraden. ;)

      Was für ein Typus war es denn?
      Befällt der auch ein recht gut gepatches Linux?

      Wie hast Du es überhaupt so schnell bemerkt?
      Hat dein lokaler Virenscanner Alarm geschlagen oder der Hoster?
      Google hatte (glücklicherweise) noch nichts mitgekommen.


      - Martin
      Chemie ist wenn es kracht und stinkt, Physik ist wenn es nicht gelingt.
    • Re: Hackerangriff

      @ Oh-ein-Papa: Im Lehrerforum.de haben die Virenscanner mehrerer User Alarm geschlagen und es dort auch gepostet. Betraf zumindest Firefox und IE.
      Was für ein Typus das ist, kann ich Dir nicht sagen. Mein Virenscanner erkannte es nicht direkt als Virus. Auf den ersten Blick sah es so aus (Aussage eines Bekannten, dem ich es gezeicht habe), dass ich mir FF (bzw. den IE) von einer schädlichen Seite geladen habe und darin dieser schädliche Link versteckt sei. Als ich ihm sagte, dass ich nur stefans Forum angeklicht hätte, kam es ihm auch spanisch vor.
      Er (mein Virenscanner) stufte es als "Verdächtig" ein, der Gefährdungsgrad sei hoch. Er hat den darin enthaltenen Link "verboten", sprich unschädlich gemacht. Ich habe dieses Ereignis entlistet und lasse nun noch mal meinen Scanner drüber laufen. Hoffe er findet nix mehr.

      lg Flipper
    • Re: Hackerangriff

      Hallo zusammen,

      kurzu nocheinmal ein Zusammenfassung was genau passiert ist.

      Vermutlich gestern oder vorgestern ist ein Unbekannter, der eine dynamische DNS aus UK benutzt und auf einen Server in Kanada verweist über eine Sicherheitslücke in unserem AdServer (das Programm, dass zur Verteilung der Banner genutzt wird) in selbigen eingedrungen.

      Dort hat er dann Veränderungen an unseren Bannern vorgenommen, sodass zu jedem Banner zusätzlich eine PHP-Seite aus Kanada geladen wurde.
      Diese PHP-Seite hat dann bei Einigen versucht Software zu installieren.

      Das heißt die möglichen Viren waren nicht auf unserem Server, sondern wurde per Link ggf. nachgeladen.
      Daher kann man auch nicht sagen, um welchen Virus es sich handelt.
      Denn im Prinzip könnte die Seite die Downloads auch wechseln.

      Daher empfiehlt es sich auf jeden Fall einen Virenscan durchzuführen und ggf. zusätzlich einen Scan nach Spy- und Malware.
      Dazu gibt es kostenlose Programm. Bspw:


      Positiv ist, dass sowohl die Virenscanner als auch einige Browser direkt Alarm geschlagen haben.
      Daher handelt es sich wohl um bekannte Bedrohungen.
    • Re: Hackerangriff

      "oh-ein-papa" schrieb:


      Was für ein Typus war es denn?
      Befällt der auch ein recht gut gepatches Linux?

      Wie hast Du es überhaupt so schnell bemerkt?
      Hat dein lokaler Virenscanner Alarm geschlagen oder der Hoster?
      Google hatte (glücklicherweise) noch nichts mitgekommen.

      Hallo Martin,

      welcher Typ kann ich nicht sagen, weil der Virus nicht auf unserem Server war, sondern lediglich per Link nachgeladen wurde (siehe anderen Beitrag).
      Weder mein Hoster noch mein lokaler Virenscanner haben Alarm geschlagen (war ja nur ein Link), sondern, wie Flipper schon geschrieben hat, ein User im lehrerforen.de

      Dort hat er die Meldung um 12:36 gemeldet (siehe <!-- m --><a class="postlink" href="http://www.lehrerforen.de/thread.php?threadid=27226">http://www.lehrerforen.de/thread.php?threadid=27226</a><!-- m --> ). Um kurz vor halb drei habe ich das dann gesehen und mich sofort auf die Suche gemacht.
      Nachdem ich gemerkt habe, dass anscheinend der Adserver irgendwie betroffen ist, habe ich sofort sämtlich Werbung entfernt (ich befürchte nur, dass Einige die Werbung noch im Cache hatten).
      Die Werbung auf Schulthemen.de habe ich sehr schnell sauber bekommen. Lehrerforen.de hat etwas länger gedauert.
      Ich habe dann gestern noch ein Update durchgeführt und sämtliche Banner neu angelegt und das System mehrfach gescannt.

      Als sehr hilfreich hat sich dabei google chrome erwiesen, der sehr zuverläslich Warnungen ausgegeben hat, bis das Problem endgültig gelöst war.
      Ich hoffe nur, dass die Eindringlinge nicht irgendwo noch eine Backdoor verstecken konnten, obwohl ich alle Dateien, auf die sie Zugriff gehabt haben könnten (im worst case) komplett durch Originale ersetzt habe.

      Ich behalte das Ganze auf jeden Fall im Auge.

      Stefan