Guten Morgen und schönen Sonntag. Ich melde mich jetzt auch einmal, allerdings finde ich es immer wieder spaßig, wie sich Nachts solche Posts entwickeln - aus einer Virenberatung wird dann irgend etwas anderes und am Ende treibt man ein Schwein durchs Dorf. Tolle Sache...
aber wenn man schon von hardwareluxx troajner/ viren bekommt, dann ist das einfach nicht mehr feierlich!
und DBODE ist ja auch verstummt... OK ist wochenende, aber wenn man fleißig trojaner verteilt hat, sollte man vielleicht ne sonderschicht einlegen und dies auch allen möglichen betroffenen berichten oder?
ich meine DBODE hat es ja zugegeben, aber eine rundmail oder sowas gab es nicht oder eine meldung auf der ersten seite.
das ist ne frechheit...
So, dazu mal ausführlich: Von Hardwareluxx bekommt man absichtlich sicherlich keine Viren. Wir setzen aber wie jede Webseite, die nicht über unbegrenzte Mittel verfügt, auf Standardprogramme im Internet - beispielsweise Joomla, Wordpress, Typo3, vBulletin und co. Je nach Userbase sind diese für einige Hacker sehr interessant: Wenn man eine Sicherheitslücke findet und diese ausgenutzt werden kann, kann man relativ einfach seinen Virus an eine sehr weite Userbase weitergeben. Das geschieht dann im Endeffekt automatisiert: Ein Skript sucht potentielle Seiten im Internet, die die Software einsetzen und dann wird einfach Brute Force die Sicherheitslücke ausgenutzt. Entweder es klappt oder es klappt nicht.
Wir verteilen den Mist dann also nicht absichtlich, sondern es kann hier jeden treffen - egal ob es auch Vorsichtsmaßnahmen gibt oder nicht.
Eine "Rundmail" dürfen wir übrigens nicht verschicken: Ich kann mich erinnern, als wir das einmal gemacht haben in einem anders gelagerten Fall, was uns an den Kopf geworfen worden ist, dass wir jetzt auch noch mit dem Spammen über Email anfangen würden... also werde ich den Teufel tun und Emails an User schicken!
Was wir seit Freitag getan haben (und das immerhin mit der CeBIT in den Knochen und diversen anderen Terminen parallel, weshalb die Informationsweitergabe hier in der Tat etwas verschleppt erfolgt):
- Es gab zwischen 13:30 und 13:38, wenn ich das jetzt richtig in Erinnerung habe (auf jeden Fall für 8 Minuten) einen iFrame auf Hardwareluxx, bessergesagt ausschließlich auf der Startseite, da er sich in einem Javascript von der Slideshow eingenistet hatte. Anschließend hatten wir die Webseite bereits deaktiviert, da wir ein recht gutes Monitoring haben (ich hatte in diesen acht Minuten zwei Anrufe und fünf SMS). Dieser iFrame hat auf eine dyndns-Adresse gezeigt, wo in einem HTML-Code ein Java-Applet hinterlegt war, welches bei schlechten Sicherheitseinstellungen, altem Browser und nicht aktuellem Virenkiller einen Virus verteilen konnte. Dafür müssen aber diverse Punkte passiert sein, wie wir in einer VM gestern getestet haben (dazu später).
- Wir haben im Laufe des Freitags und Samstags zum einen den iFrame entfernt, wie auch Maßnahmen ergriffen, dass der Angreifer dieselbe Variante des Angriffs nicht mehr verwenden kann. So stehen jetzt z.B. alle Javascript-Dateien auf Hardwareluxx auf "read-only", können also nicht mehr verändert werden. Das macht uns bei einem potentiellen Update der Webseite zwar Probleme, ist aber sicherer (wird aber z.B. von dem CMS-Hersteller aus diesem Grund nicht empfohlen!). Weiterhin haben wir diverse .htaccess-Dateien hinterlegt, um Zugriffe einzuschränken etc. Zudem werden wir in der nächsten Woche noch weitere Aktionen durchführen.
- Sofern wir bislang herausfinden konnten, ist dieser Angriff bei unserem CMS noch vorher nicht dokumentiert. Wir haben zumindest - trotz breiter Userbase - im Internet noch keine weiteren Fälle finden können, in denen identische Attacken durchgeführt worden sind. Aus diesem Grund werden wir uns auch mit dem Entwickler-Team in Verbindung setzen.
Soviel zur Arbeit in den letzten Tagen. Warum wir keine großangelegte Warnmeldung herausgegeben haben, kann ich auch erklären: In den acht Minuten waren genau 200 Leute ausschließlich auf unserer Startseite unterwegs. Wir haben in der VM herausgefunden, dass man zum einen das iFrame nur unter bestimmten Bedingungen angezeigt bekommen hat (z.B. wenn noch kein Cookie gesetzt worden war), des Weiteren konnten wir herausfinden, dass nur bestimmte Browser betroffen waren (z.B. IE8 und darunter, sowie einige Chrome-Versionen). Diese Browser nutzen bei uns auf der Webseite nur ca. 20% der User, also sind 40 User potentiell gefährdet gewesen (abzüglich weiterer User, die den Cookie nicht hatten). Bei Chrome musste man aktiv das Ausführen des Applets bestätigen, sodass die meisten Chrome-User hier wohl alarmiert waren. Wenn man das allerdings trotzdem gemacht hat, haben einige Virenkiller angeschlagen (z.B. avast!, GDATA,...). Und wenn man selbst diese Virenkiller nicht aktiv hatte, dann hätte man sich den Virus einfangen können. Also: Wenn maximal 5 User infiziert sind, ist das schon eine hohe Anzahl.
Wenn wir dafür jetzt die große Massen-Panik verursachen, wäre das eine falsche Reaktion, denke ich. Wichtiger war es, Hardwareluxx abzusichern und unsere Kraft da reinzusetzen, dass sowas in Zukunft nicht mehr passieren kann. Und da sind wir aktuell dran und auch in der nächsten Woche sicherlich mit beschäftigt.
Ich kann seit heute meine Posts nicht merh editieren. irgendein Zusammenhang?
Das ist Schwachsinn hoch 3, sorry...
Die Frage ist, kann man sich vor den Virenbefall durch Werbung schützen, in dem Add Block an ist?
Nein. Im Gegensatz zu dem Problem, was wir vor ca. einem Jahr mal hatten, sind keine Banner betroffen. Wir setzen jetzt hier übrigens keine allgemein zugängliche Software mehr ein, sondern Google dfp. Wenn also Google gehackt wird und Viren ausliefert, dann sollte man sich Gedanken darüber machen.
also wenn ich mich recht erinnere war es letztes mal nur ein Banner, das Firefox verdächtig vorkam und es wurde mit höchster anstrengung versucht, das Problem zu beheben...
und dann wird aus zwei fehlalarmen plötzlich ein "man sich hier immer wieder etwas einfängt"...
Korrekt. Das geht halt schnell, hat man den Ruf erst einmal durch sowas runiniert. Aus diesem Grund sind wir auch extrem vorsichtig und überempfindlich. Wir hatten im letzten Jahr auch diverse Fehlalarme intern, weil irgendjemand meinte, er hätte was gesehen - aber es gab gar nichts. Eigentlich ein gutes Zeichen, oder?
Ich mache mich wieder ans Arbeiten.
oder habe ich mich schon so an die Änderungen gewöhnt? 
