swissgeocache.ch Forum = Malware?

[schnurr]

nur so mal zum lesen und verstehen, finde den Artikel recht gut ...

 

http://www.microsoft.com/germany/technet/datenbank/articles/600574.mspx

[schallers]

Wer folgt mein Beispiel?

 

erledigt

[dark3zz]

hmmmm, da muss ich noch zunder ins feuer giessen.

 

ein indirekter vorwurf: als admin dieses forums, resp seite, hätte ich SOFORT das forum, seite offline genommen! htaccess rein oder die index verschoben (und nicht nur im forenadministrator offline gestellt) und dann eine lösung gesucht.

googles scanner-scum/scam/spam/ware suchdienste sind ziemlich direkt und genau.

tagelang war diese seite hier frei begehbar und so konnte sich doch der eine oder andere was einfangen.

 

- wer ins auto steigt, wird sich auch den sicherheitsgurt anlegen, hoffe ich doch

- wer auto fährt nimmt das risiko bewusst auf sich das etwas passieren koennte

 

 

darum: prüfe wer sich bindet (mit dem internet)

 

 

 

regeln für einen sicheren verkehr:

 

- javascript im browser deaktivieren (ja, dann wird nicht mehr browsergames gezoggt!)

 

- FIREFOX benutzen und den anfaelligen Internet Explorer meiden

http://www.mozilla.org/de/firefox/fx/

 

- FIREFOX ADDON NOSCRIPT

https://addons.mozil...addon/noscript/

 

- umsteigen auf einen MAC!

http://www.apple.com/chde/

 

- für die ganz harten: umsteigen auf LINUX!

http://www.ubuntu.com

- tipps fuer ubuntu

http://ubuntuusers.de

Bearbeitet 13. November 2012 von dark3zz

[The_Raven]

- für die ganz harten: umsteigen auf LINUX!

http://www.ubuntu.com

- tipps fuer ubuntu

http://ubuntuusers.de

 

Und für die welche nicht ganz so hart sind: http://www.linuxmint.com/

[dark3zz]

vielleicht wäre es auch von vorteil die neusten user vorerst zu sperren, oder gleich alle die "0" beiträge haben. wird sich wohl jemand / bot angemeldet haben und einen exploit vom ip board genutzt haben um den javascript schnipsel zu verteillen. wenn dieser user nicht gesperrt wird, ist der schnell wieder hier. sofern forum updatet

 

 

[dark3zz]

Und für die welche nicht ganz so hart sind: http://www.linuxmint.com/

hab ich mal benutzt nur wegen dem tollen startmenue

[RCH65]

- javascript im browser deaktivieren (ja, dann wird nicht mehr browsergames gezoggt!)

- FIREFOX benutzen und den anfaelligen Internet Explorer meiden

..snip...

- umsteigen auf einen MAC!

 

...und kein Java (nicht nur Javascript!)... und zwar auch nicht unter OS-X (http://www.hotforsec...-os-x-3425.html),,, um Gottes Willen kein FireFox (http://www.computerw...vulnerabilities) und selbstredend keinen Flash-Player oder PDF-Reader. Und Finger weg von Mails! Gaaaanz böse!

 

Und für die ganz, ganz, ganz Harten:

http://de.wikipedia..../Lynx_(Browser)

Bearbeitet 13. November 2012 von RCH65

[neisgei]

Ich würde sagen... FINGER WEG vom WörldWideWeb!

 

Weil, das ist dann am sichersten zum sörfen!

 

PS: Also jetzt mal die Füsse still halten. Jeder soll Client-Seitig sicherstellen, dass er sich nichts einfängt. ICH finde es allerdings bedenklich, dass der Schadcode überhaupt auf den Server kam!

Bearbeitet 13. November 2012 von neisgei

[Paravan]

vielleicht wäre es auch von vorteil die neusten user vorerst zu sperren, oder gleich alle die "0" beiträge haben. wird sich wohl jemand / bot angemeldet haben und einen exploit vom ip board genutzt haben um den javascript schnipsel zu verteillen. wenn dieser user nicht gesperrt wird, ist der schnell wieder hier. sofern forum updatet

 

Hier der Hinweis, das jeder neue User hier manuell von uns geprüft und freigeschaltet wird, bevor er etwas posten kann. Ohne gültigen GC-Account und meist auch ohne gefundenen Caches, wird man hier nicht freigeschaltet. Die von Dir geposteten User haben alle - bis auf den letzten - einen gültigen GC-Account und zahlreiche "Founds". Beim letzten von Dir gezeigten steht "validating", d.h. dieser war noch nicht freigschaltet und wird es auch nicht, weil er keinen GC-Account hat.

 

Die ganze Sache ist etwas komplexer als es Attila in der kurzen Zusammenfassung oben wiedergegeben hat. Es ist so, dass die Admins umgehend zu handeln begannen (das Forum war darum auch mehrmals offline), als wir davon erfuhren.Und als wir glaubten, alles sein "sauber", war das Unding wieder da.

Der Hersteller der Forums-SW zudem hat erst vor Tagen ein (das?) "Leck" entdeckt und mit eine Security-Update gefixt.

 

Im Nachhinein ist man ja immer schlauer und vielleicht müssten die Admins - die zufälligerweise alle Macs haben - auf Windows umsteigen, damit wir auch davon betroffen wären (Duck und weg, nicht das jemand Kacheln - oder wie die Dinger aus der DOSen-Welt jetzt gerade heissen - nach mir wirft).

[Mausebiber]

Hallo dark3zz

 

ich finde es äußert bedenklich, hier einzelne User an den Pranger und unter Generalverdacht zu stellen, nicht gut, wirklich nicht gut.

 

Gruß, MB

[prû]

Üble Sache Maloney!

 

Hatte auf einer von mir betreuten Seite auch schon solch ein Katz- und Mausspiel. Als Administrator überhaupt sowas von mühsam - man kann es sowieso nicht richtig machen, ist immer einen Schritt zu spät und dann hat man das Gefühl man habe die Maus erwischt - oder dann doch nicht?

 

Das einem User zuzuordnen halte ich für nicht wirklich plausibel. Meist sind es Standardsoftwares, die ein Sicherheitsleck haben (bei anderen lohnt es sich weniger für die Mäuse dort nach Käse zu suchen) oder unsicheres in der Serverkonfiguration (FTP-Account mit Standart-Passwort).

 

Ich hoffe, es können bald alle Mauslöcher gefunden und alle Mäuse entfernt werden. Danke für euren Einsatz!

[Attila_G]

Update!

 

So, wir hoffen, dass das Malware Problem nun behoben ist! Zuerst kurz zur aktuellen Situation: Besten Dank vorab an geomäge! Der Link zu Sucuri.net hat uns sicher weitergeholfen, um dem Problem auf die Spur zu kommen. Wir haben nun auch diesen Monitoring Dienst in Anspruch genommen und konnten so vermutlich(!) das Problem lösen. Auf jedenfalls wird die Site nun zusätzlich alle 4h überprüft, falls sich die Malware zurückmeldet...

 

Es gibt dummerweise zwei Dinge, die uns immer noch total unklar sind: Erstens wissen wir immer noch nicht, wo das Sicherheitsleck war (oder noch ist?). In Frage kommt die Forumssoftware oder die CMS Lösung, welche auf der Startseite eingesetzt wird. Und zweitens wissen wir praktisch nichts über die Malware selber. Diese beiden Punkte sind wirklich nicht gerade befriedigend.

 

Fakt ist, dass die Malware auf verschiedene Seiten einen Code platziert hat. Dieser musste zuerst mal gefunden werden. Anschliessend haben wir ihn mehrfach entfernt, aber leider war er wenige Stunden später wieder da... Darum wurde das Forum auch mehrfach vom Netz genommen und dann wieder aufgeschalten, wenn es sauber schien. Seit dem Monitoring von Sucuri.net wissen wir, dass es offenbar noch ein Stück Code gab, welches vermutlich dafür verantwortlich war, dass die Malware jedesmal wieder zurückkam. Dieser Code ist seit heute morgen entfernt und seitdem haben wir Ruhe. Hoffe, dass es so bleibt! Im Internet hat man zu dem Code/Malware leider keine Infos gefunden, was die Sache auch nicht leichter machte. Wir wissen nur durch die Google Tools, dass die Malware offenbar über Drittseiten aktiv wurde. Auf unserem Server war kein Virus vorhanden (nur der Malware Code). Die Minis und ich haben seit Freitagabend nach dem Malware Code gesucht und viele Stunden damit verbracht, das Problem zu lösen. Eine für uns nicht ganz alltägliche Aufgabe. Schlussendlich haben wir alles getan, was uns möglich war und in dem Moment auch passend erschien. Klar ist man im Nachhinein klüger und würde dies oder jenes besser machen. Nur muss man das zuerst mal herausfinden. ;-) Die Kritik von dark3zz ist sicher ein stückweit gerechtfertigt, muss aber auch aus der Situation gesehen werden, in der wir uns befunden haben. Daher denke ich, dass wir nicht direkt fahrlässig gehandelt haben.

 

Dass ein Fake-User am ganzen Problem beteiligt ist, können wir praktisch ausschliessen. Paravan hat die Gründe oben ja genannt: Jeder User wird manuell überprüft.

 

Es tut uns leid, wenn Mitglieder über diese Malware einen Virus eingefangen haben. Leider liegt es in der Natur des Internets (und der eingesetzten Plattform/Betriebssystems), dass solche Problem auftreten können und niemand davor gewappnet ist. Ein lokaler Virenschutz ist darum etwas, wofür auch jeder selber besorgt sein muss.

 

Danke für euer Verständnis!

 

-- Attila

[geomäge]

@mausbiber, dark3zz hat nicht ganz unrecht, sogar recht, bei malware alarmstufe rot ist die seite SOFORT vom netz zu nehmen ohne wenn und aber. das ist kein prangerpost sondern gut gemeinte kritik von dark3zz, so haben es die admins sicher auch aufgefasst, ganz locker bleiben ;-)

 

1.

ich arbeite bei einem hoster und wir handhaben das so, egal was für ein kunde, arzt, geschäft, shop (umsatzeinbuse). sofort blockieren und kunde/inhaber informieren. warum das euer hoster nicht gemacht hat ist mir ein rätsel.

man ist sogar gesetztes wegen gezwungen als hoster eine malwareseite innert 24h vom netz zu nehmen, wenn nicht, blockiert switch die dns zu der domain. reagiert der owner nicht während 30 tagen wird die domain sogar

von switch gelöscht.

 

empfehle bei twitter einen account zu eröffnen (notfallkanal), sollte es wieder mal vorkommen und es wird kommen wie das amen in der kirche, kann man das forum vom netz nehmen und über twitter als eine art notfall kanal die mitglieder infomieren und auf dem laufenden halten. evt auch facebook.

 

hier noch der text von switch:

 

Weltweit einmaliger Prozess

Im Kampf gegen Malware fordert SWITCH die Halter und Betreiber infizierter Webseiten auf, Schadcode innert 24 Stunden zu entfernen. Die Sicherheitsabteilung von SWITCH überprüft für jede verdächtige Webseite,

ob deren Aufruf zu einer Infektion des Rechners führen kann. Dazu wird der Quellcode der Webseite untersucht. Findet SWITCH schädlichen Code, werden Halter und Betreiber des Domain-Namens benachrichtigt.

Gelingt es nicht, den Domain-Inhaber oder einen zuständigen Systemadministrator zu kontaktieren, blockiert SWITCH zum Schutz der Internetnutzer den Domain-Namen, womit die betreffende Webseite nicht

länger erreichbar ist. Reagiert der Halter auch auf diese Blockierung nicht, fordert SWITCH ihn auf, sich innert 30 Tagen mittels Wohnsitzbestätigung bzw. HR-Auszug zu identifizieren.

Bleibt der Nachweis aus, wird der Domain-Name gelöscht.

 

2.

inaktive verdächtige user sind zu löschen weil die bots unötig das forum belasten, auch wenn noch nicht freigeschaltet starten sie hunderte anfragen aufs forum (mailserver bekommt massenweise "failure notice" weil meist mailadresse gar nicht gehen und verstopfen so die mailwarteschlange) oder auch die resourcen des mysql db servers werden belastet. hier ein link von aktuellen aktiven bots die foren unterwandern http://www.stopforumspam.com/

 

3.

evt wäre auch ein spende knopf auf dem forum was wo man unabhängig vom member status spenden kann, supporter plus ist ja das mindeste was man für euren zeit aufwand machen kann und ich jedem empfehle die super sache da zu unterstützen, 1x pizza weniger futtern und hier mal was abzudrücken ;-) , betreibe selber ein paar foren und kenne den aufwand wovon die sicherheit leider am meisten zeit frist.....

[schnurr]

Ach Gott ... im nachhinein immer dieses blah, blah, blah ... Tipps, Tipps, Tipps .... schrecklich ... ich hasse diese ganzen Hypes, die dann immer von dem ach so grossartigen Mac OS X und dem noch besseren Linux version judihui, schiess mich tot) predigen.....

 

Ich arbeite seit über 20 Jahren auf beiden Platformen und sage doch mal ich habe ein vage Ahnung davon (nein keine Angst es kommen keine Tipps mehr... es wurde ja alles gesagt *öhm* oder so).

 

Diese Malware-Coder haben echt was drauf und wenn sie mal angebissen haben kriegt man sie fast nicht wieder weg.... als ich freue mich lebt das Forum wieder und hoffe auf schadfreien Code.

Bearbeitet 13. November 2012 von schnurr

[dark3zz]

@mausebiber: stelle gar niemand an den pranger! logischerweise stellt man mal die letzten user offline zumal da user sind welche 0 posts und dazu noch befremdende namen und kein benutzerbild haben.

 

aber da jeder user hand-crafted geprueft wird, wird wohl alles io sein.

 

attila und co haben das wohl im griff.

 

@schnurri: geschmeidig bleiben...

 

immerhin wird diskutiert und man lernt wieder einiges dazu. und wer programmiert versteht um was es hier im detail geht.

 

wohl ein nightlie backup ist pflicht. db dump und auch die ganzen logfiles.

evtl kam der scammer auch ueber Drupal rein. nachteil solcher cms und foren ist das der source frei verfuegbar ist, da tummeln sich tausende fuer exploits welche es immer geben wird.

 

auf jedenfall ist es bis heute noch am sichersten via ipad/iphone im netz zu wühlen.....

 

attila und paravan: ich moechte nicht eure arbeit schmählern, ihr macht einen guten job und gibt der schweizer cacher szene eine plattform / shop!

das deaktivieren aber bleibt. handeln und dann nachforschen.

thumbs up das ihr jemand vom fach da geholt habt.

 

ihr solltet einen spenden aufruf machen um die kosten zu decken. auf jedenfall kann niemand was dafür. wer irgendwo rein will und das verstaendnis hat, kommt auch rein. siehe psn etc

[Attila_G]

"geschmeidig bleiben..."

 

Ja, das bleiben wir doch alle! Ich habe kein Problem mit der Aussage von dark3zz, dann sollte es ja sonst auch niemand haben. Hilfe oder Tipps sind immer willkommen. Man lernt ja gerne dazu. Manchmals reagiert man auch nicht optimal, wenn man unerwartet vor so einem geschissenen Problem steht und man auch noch andere Dinge erledigen sollte... Aber bisher ist nun alles wieder im Lot.

 

-- Attila

[dark3zz]

saubi! dann gehts weiter mit "Bäumle" ;-)

[Dikkertje Dap]

ihr solltet einen spenden aufruf machen um die kosten zu decken.

Hallo dark3zz, du hast die gelegenheit dich als Supporter (plus) in dein Profil dazu zu bedanken.

oder hier

http://www.swissgeocacheforum.ch/forum/index.php?showtopic=10843&hl=

wenn dir PayPal zu heiss ist eine einzahlung zu tätigen.

Ich selber Poste zwar nicht viel, bin aber immer wieder froh um gute Beiträge im Forum.

Danke, macht weiter so

[Attila_G]

Easy, es darf jeder freiwillig das Forum unterstützen. Keiner soll sich da in irgendeiner Weise gedrängt fühlen!

Danke jedenfalls an alle Supporter, an alle die mitgeholfen haben und an alle, die täglich gute Beiträge schreiben!

 

-- Attila

[Mausebiber]

@mausbiber, dark3zz hat nicht ganz unrecht, sogar recht, bei malware alarmstufe rot ist die seite SOFORT vom netz zu nehmen ohne wenn und aber. das ist kein prangerpost sondern gut gemeinte kritik von dark3zz, so haben es die admins sicher auch aufgefasst, ganz locker bleiben ;-)

 

Habe ich mich undeutlich ausgedrückt? Es geht mir doch nicht darum, die Seite vom Netz zu nehmen, sondern um die Verdächtigungen von dark3zz gegenüber 5 User die er aus der Mitgliederliste hier einfach ins Forum gestellt hat. Die Usernamen sind verdächtig und auch die Tatsache, dass sie noch nichts gepostet haben veranlassen dark3zz diese User sperren zu lassen. Diesen Generalverdacht gegenüber den Usern halte ich für nicht gerechtfertigt und bedenklich.

 

Wie sieht denn ein unverdächtiger Username aus und ab wie vielen Postings muss man keine Angst mehr haben, gesperrt zu werden?

[dark3zz]

@biber: schon laengst gefressen :-)

[geomäge]

biber forumpflege gehört zum unterhalt dazu auch von zeit zu zeit das löschen von usern mit 0 beiträgen, das forum lebt von beiträgen, die user stehen zu lassen nur dass die mitgliederzahl höher ist braucht man ja nicht wirklich, wie verdächtige usernamen aussehen kannst du dir sicher vorstellen, ansonsten als anregung hier eine namenliste http://www.stopforumspam.com/ . mit gesundem menschenverstand erkennt der admin schnell mal was fake ist (emailvergleich usw.). bedenklich ist nicht der general verdacht, man kann als admin nicht genug vorsichtig sein, bedenklich ist deine post die unnötig ängste und zwist schürt.

[Paravan]

biber forumpflege gehört zum unterhalt dazu auch von zeit zu zeit das löschen von usern mit 0 beiträgen, das forum lebt von beiträgen, die user stehen zu lassen nur dass die mitgliederzahl höher ist braucht man ja nicht wirklich,

An sich hast Du recht, nur gerade bei "uns" weiss ich von vielen Usern, die sich registrieren um in allen Bereichen mitzulesen aber nicht, nur selten oder erst nach langer Zeit mitschreiben. Darum bin ich/wir hier eher zurückhaltend mit Löschen von usern.

[Attila_G]

Wir löschen User mit 0 Beiträgen nur dann, wenn sie auch über eine lange Zeit inaktiv sind (sich also gar nicht im Forum anmelden). Dann geht aber vorher noch ein Mailing raus, um die Leute zu informieren. Die User sind aber bei dieser ganzen Malware Geschichte nicht das Thema. Und User horten tun wir auch nicht, davon hätten wir auch nichts. In der letzten Zeit löschen wir an die 20 Fake Anmeldungen pro Tag... Spam-Accounts gibt es bei uns nicht, darum auch die manuelle Überprüfung.

 

Nun möchte ich alle bitten, diesen Thread für Meinungsverschiedenheiten ein wenig ruhen zu lassen. Ich möchte ihn nur ungern schliessen. Danke ;-)

 

-- Attila

[Ursprung]

Von meiner Seite gibts keine Kritikpunkte ans Administratoren-Team, sondern ein "Big-Merci"! Ich bin überzeugt, dass ihr sehr anstrengende letzte Tage hattet und neben eurem Privat- und Berufsleben viele ernüchtende Stunden in den Aufbau dieses Forums gesetzt habt.

Mir scheint, dass hier einigen Personen nicht so ganz klar ist, dass dies ein Forum von leidenschaftlichen Cachern ist und nicht von einer kommerziell betriebenen Firma.

 

Zum Vorwurf "Wie blind kann man sein, trotz Maleware-Gefahr das Forum zzu betreten": Wie soll ich bitte herausfinden, ob das Forum wieder online /sauber ist, ohne es selber zu betreten? Hier möchte ich den Vorschlag unterstützen, bei Twitter / Facebook / ... einen Notfallkanal einzurichten, der über einen Status berichten könnte...