Werbung
Werbung
Werbung |
Werbung |
| Erstellt von Wolfgang Künzel |
| Wolfgang Künzel - 05.01.2006 20:23: Nachdem unser Server heute durch einen Wurm angegriffen wurde (die Lücke lag wahrscheinlich bei einem PHPBB-Board hier auf dem Server), haben sämtliche Startseiten heute mehrfach versucht ein angebliches Internet Explorer Plugin, getarnt als .scr - Datei herunter zu laden. BITTE AUF KEINEN FALL INSTALLIEREN! Ich weiss nicht, was für eine Datei das ist. Wahrscheinlich jedoch eine Datei um DOS-Angriffe zu starten, o.ä. Wir bieten keine Plugins zum Installieren an! Derzeit wird an dem Problem, bzw. der Sicherheitslücke gearbeitet. |
| Wuk - 05.01.2006 21:44: Bei Firefox bislang, no Problems:d_zwinker:. Ich hoffe die Lücke wird gefunden:d_gutefrage:. |
| Wolfgang Künzel - 05.01.2006 21:56: Wer die Datei geladen hat, sollte auf jeden Fall eine Systemwiederherstellung zu einem früheren Datum starten: START -> Programme -> Zubehör -> Systemprogramme -> Systemwiederherstellung -> Computer zu einem früheren Zeitpunkt wieder herstellen. |
| Thomas D. Chamberlain - 06.01.2006 10:45: [quote] [i]Original von Alexander Cain:[/i] Nachdem unser Server heute durch einen Wurm angegriffen wurde (die Lücke lag wahrscheinlich bei einem PHPBB-Board hier auf dem Server), haben sämtliche Startseiten heute mehrfach versucht ein angebliches Internet Explorer Plugin, getarnt als .scr - Datei herunter zu laden. BITTE AUF KEINEN FALL INSTALLIEREN! Ich weiss nicht, was für eine Datei das ist. Wahrscheinlich jedoch eine Datei um DOS-Angriffe zu starten, o.ä. Wir bieten keine Plugins zum Installieren an! Derzeit wird an dem Problem, bzw. der Sicherheitslücke gearbeitet. [/quote] .scr-Dateien sind Bildschirmschoner. Da es sich um richtige, ausführbare Programme handelt, haben diese die gleichen Benutzerrechte wie der User, unter dem sie laufen und können damit ne Menge Unsinn anrichten. Gruß, Jack |
| Wolfgang Künzel - 06.01.2006 11:11: Hi Jack, das ist klar. Ich weiss nur nicht, welche Aktion diese Datei ausführen soll. Eine Recherche hat ergeben, dass der Wurm selbst über IRC gesteuert werden kann, daher nehme ich an, dass die SCR-Datei (gleichbedeutend mit EXE) ähnlich funktioniert und die befallenen Rechner entsprechend für solche Aktionen wie Server lahmlegen, etc. benutzt werden. Wenn hunderte von Rechnern ständig Anfragen an ein und den selben Server stellen, wird er ja blockiert. Es kann aber auch etwas anderes sein. Auf jeden Fall ist es sicher kein Aquariumbildschirmschoner. :d_zwinker: Betroffen sind übrigens tausende von Systemen, vorzugsweise solche, die in den Suchmaschinen gut gelistet sind, da die Suchmaschinen missbraucht werden um unsichere PHP-Skripte zu finden. Ich habe jetzt, nach einiger Recherche auf unserem Server zwei Lücken eleminiert. Da seit dem kein weiterer Angriff erfolgt ist (vorher war es im Minutentakt), hoffe ich die relevanten Sicherheitslöcher gefunden zu haben. Siehe hierzu auch: http://www.zone-h.org/news/read/id=4440/ (Englisch) oder http://www.heise.de/newsticker/meldung/54623 (Deutsch) |
| DELETED - 06.01.2006 11:29: @ Alex Na da hab ich ja noch mal Schwein gehabt! Denn als ich mich gestern (kann auch vorgestern gewesen sein) einloggen wollte, bekam ich genau dieses plugg-in präsentiert :) Da ich aber nichts runterlade, was ich nicht angeklickt habe, habe ich dieses PLugg-in einfach blokkieren lassen :) mfg Fabrice |
| Wuk - 08.01.2006 21:32: Die http://www.blitzentspannung.de/ ist scheinbar auch betroffen. |
Relevante Links:
Das größte deutschsprachige Hypnoseforum mit viel Informationen
Die Hypnoseakademie - Hypnose-Ausbildung / Seminare!
www.hypnotiseure.com - Wenn Sie einen ausgebildeten Hypnotiseur suchen