Wieder die alte Geschichte. Antivirus-Programm meldet "Crypted Gen", und wieder "slideshow" (http://www.trekkingforum.com/slideshow_fdm.html). Da ist wieder nacht dem Schluß-Tag der Webseite neue iframe, die auf >rx-white.com> führt. Also, die selbe "Location" wie früher, bloß die andere iframe (beschrieben auf der 1. Seite in diesem Thread).

Gestern war hier alles sauber.

Ja, ich erhielt heute morgen einige Systemmeldungen. Nach Überprüfung konnte ich sehen, dass eine neue Malware im gleichen Schema seit 22.12.2008, 18.31 Uhr tätig war.

Ich habe den ganzen Tag über (23.12.) meinen gesamten Webspace durchforstet. Es ist mir allerdings noch nicht gelungen, die Lücke zu finden.

Den gesamten Code vom Trekkingforum durchsuchen (auch mit automatischen Hilfsmitteln - ich verwende Phase 5) dauert das mehr als 24 Stunden!

Leider sind bei dieser Attacke fast 2800 Useraccounts verloren gegangen - Beiträge allerdings nicht! Ich kann jetzt nicht überprüfen, wen es dabei erwischt hat. Im Falle bitte neu registrieren und sich hier in diesem Thread melden.

A.

AKTUALISIERUNG AM 24.12.2008

Ich habe jetzt in allen Foren und der Galerie alle Spyware-Codeschnippsel entfernt.
Allerdings traue ich der Sache noch nicht so ganz, deshalb möchte ich das Forum noch ein paar Tage geschlossen halten und die Sachlage beobachten.

Nach genauerer Zählung sind 3802 Accounts gelöscht worden. Das betrifft meistens jedoch User mit einer geringen Beitragszahl. Alle Beiträge sind jedoch erhalten worden, so weit ich das momentan beurteilen kann. Beiträge von gelöschten Accounts wurden vom System auf "Gast" gesetzt. Bitte nachsehen ob euer Account noch existiert.

In der Fotogalerie sind rund 65% der Bilder gelöscht worden. Manchmal alle Bilder eines Users, dann wieder Bilder einer Thematik mehrerer User. Ich konnte kein Muster feststellen. Bedauerlicherweise kann ich die Bilder nicht zurückholen. Die Datenbank wird zwar regelmäßig gebackupt, aber die Fotos sind nicht physisch in der Datenbank abgespeichert. Sehr wohl aber die Beschreibungen und Texte dazu. So kommt es, dass viele Fotos nicht mehr sichbar sind, aber die Beschreibungen schon.

So weit das Update für heute.

Grüße,
Andreas, Administrator des Trekkingforums

AKTUALISIERUNG - INFO - 28.12.2008

Im Zuge der "Reparatur-Arbeiten" am Forum konnte ich feststellen, dass die Attacke über einen oder mehrere Useraccounts gelaufen ist, die unsichere Passwörter angegeben haben.

Generell kann ich die selbst gewählten Passwörter nicht einsehen, da sie verschlüsselt in der Datenbank abgespeichert werden.

Ich konnte jedoch erkennen, dass 46 Benutzer / User aus Bequemlichkeit als Passwort ihren Benutzernamen angegeben haben. Bei unsicheren Kennwörtern besteht die Gefahr, dass automatisierte Skripte oder Programme Zugriff auf das Benutzerkonto erlangen können und folglich das Forum mit den Rechten des betroffenen Benutzers für Spam oder Einschleusung von Malware (bei gleichzeitiger) Benutzung mehrerer, unsicherer Accounts. nutzen können.

Jeder dieser 46 soll sich selbst bitte an der Nase nehmen, ich werde sie hier nicht veröffentlichen und niemand an den Pranger stellen. Bösartige Software-Bots probieren halt dann einfach, über welche Accounts sie Zugriff gelangen können. Es kann auch gezielt geschehen.

Alle betroffenen 46 User (es sind auch einige darunter, die praktisch jeden Tag im Forum sind) haben von mir ein automatisch generiertes Passwort per eMail zugesandt bekommen. Solltet jemand das eMail nicht erhalten haben, möge er bitte im Spamordner nachschauen. User, die jene eMail-Adresse nicht mehr benutzen, die im Trekkingforum hinterlegt ist, müssen mich persönlich kontaktieren, um wieder Zugang zu erhalten.

Gruß,
Andreas

AKTUALISIERUNG - INFO - 29.12.2008

Die folgenden Wartungsarbeiten wurden bis heute durchgeführt:

Zusätzliche Sicherheitsupdates durchgeführt
Einführung von Reg Ex für Neu-Registrierungen und neue Sicherheitsabfrage. Spambots sollten fürs Nächste nicht mehr durchkommen.
weitere, kleinere Patch-Arbeiten
Durchforsten der Add-Ons auf Sicherheitslecks
Einrichten des neuen Blogs
Mir ist in den Logs aufgefallen, dass bei einigen Usern die Geburtstage geändert worden sind. Bitte nachprüfen und gegebenenfalls wieder ändern.

Andreas

PS: Ich bin noch nicht fertig und es wird nochmals eine Sperrung geben!

Ich möchte mich an dieser Stelle ganz besonders bei den Machern, Hütern und natürlich ganz besonders beim Admin bedanken, die derzeit viel Arbeit und Zeit investieren, um das Trekkingforum "lebendig" zu erhalten. Das ist angesichts der Urlaubs- und "Feiertagszeit" nicht selbstverständlich und kann gar nicht hoch genug angerechnet werden.

Trotz allem wünsche ich allen Forumsmitgliedern einen Guten Rutsch in das Neue Jahr 2009. Bleibt´s alle g´sund.

hi andreas,

das tut mir wirklich leid wegen dem passwort und ich entschuldige mich dafür. zwar bin ich weder bequem noch faul. mein passwort war nicht genau das gleiche wie mein benutzername aber es hatte gleich viele buchstaben und das war ein fehler von mir. ob sich meine unwissenheit entschuldigen lässt?
weil ich das forum sehr schätze, benutze ich es als meine startseite. ich sitze jeden tag mindestens 8 stunden am compi nur mit anderen aufgaben und ich habe stets sehr viel respekt vor der webprogrammierung und ich lasse meine finger und gedanken davor.

ich bewundere deine virtualität in der programmierung vom forum und ich hoffe sehr, dass du meine entschuldigung annehmen kannst.

herzlich
doro

Aber Doro, da gibt es nichts zu entschuldigen :), in keinster Weise.

Und das Sicherheitsleck hatte tatsächlich NUR jene User betroffen, deren Passwort UND Username VOLLKOMMEN gleich war.

Ist aber auch etwas, an das man nicht denkt. Diese Bots probieren halt ein Login und bei manchen haben sie Erfolg.

Ich bin einfach nur froh, dass dieses Leck jetzt geschlossen ist. Das System erkennt nun, wenn man vorhat, den Usernamen als Passwort anzugeben und weigert sich.

LG
Andreas

Lieber Andreas !
Ich möchte Dir im Namen aller, die das Forum benutzen, für Deine Anstrengungen und Mühen danken !!
Ich wünsche Dir jedenfalls, dass es Dir gelingen möge, trotz der intensiven Tätigkeit für dieses Forum einige ruhige und erholsame Tage mit Deiner Familie zu genießen.
In diesem Sinn ein gutes, gesundes und erfolgreiches Jahr 2009 !
Günter

Hallo Andreas,

diesem Dank möchte ich mich gerne anschließen.
Vor allen auch Dingen dafür, dass das Nepal Wiki wieder online ist!
Merci tausendmal!:up::up::up:
Ich wünsche dir einen Guten Rutsch (aber nicht wörtlich;)) und
ein gesundes und frohes Jahr 2009!

Gregor aus Essen

Vielen Dank für die Arbeit während der Feiertage Andreas.
Ich wünsch Dir einen guten Rutsch ins neue Jahr.

Gruß
Jens

AKTUALISIERUNG - INFO - 30.12.2008

Ich danke für die Wünsche :).


weitere Sicherheitslecks geschlossen
php.ini Dateien (http://at.php.net/manual/de/ini.list.php) am Server neu definiert
Muss jetzt noch mal alles durchsehen, ob alles passt.

Andreas

Auch ich möchte mich mal ganz arg bedanken, für die viele Mühe das Forum aufrecht zu erhalten und alle Spyware Probleme und sonstiges so schnell wie möglich zu lösen! Echt super.
Und euch allen auch einen guten Rutsch ins neue Jahr.
Viele Grüße
Nina

Hallo Andreas,
auch wenn ich nicht zu den TOP 46 gehöre, so weiß ich doch was für eine Arbeit Du mit der erneuten Attacke hattest.

Und nicht wie alle Jahre wieder möchte ich Dir ganz persönlich auf diesem Weg danken. Für all die Mühen "unser" Trekkingforum so geräuschlos zu administrieren.

Dir und Deiner Familie, ein gesundes Neues Jahr und Alles Gute!


Herzlichst,
Hakku

AKTUALISIERUNG - INFO - 02.01.2009

Ich dachte schon, alles sei wieder im Grünen Bereich, als mir gestern von einem User mitgeteilt wurde, dass teilweise plötzlich gewisse Rechte falsch gesetzt werden.

31.12.: Fehlerlesung, Gesamtschau
01.01.: leider noch Fehlermeldungen von Usern, die anscheindend nun eingeschränkte Rechte haben, obwohl eigentlich alle richtig gesetzt sind. Bis jetzt bin ich auf den Fehler noch nicht draufgekommen. Obwohl ich nun gestern Abend und heute den ganzen Tag gesucht habe. Auch die css-Definitionen hat es mir durcheinander gebracht, was man an der Eingabemaske gut sieht.
Ich werde natürlich weitersuchen. Gelegentliches Abschalten des Forums wird weiterhin nötig sein. Ich werde auf jeden Fall ein Mail hinaussschicken, sobald alles wieder fehlerlos läuft.



Aus Sicherheitsgründen habe ich zwei weitere Dinge verschärft:

Wie schon am 29.12. erwähnt habe ich RegEx für die Neuregistrierung eingerichtet. Diese habe ich nun weiter verschärft. Als Usernamen gehen ab sofort nur mehr alphanumerische Zeichen und Leerzeichen zwischen den Worten (zB bei Namen). Alle bestehenden Usernamen, die Sterne, Unterstriche, etc. enthalten, müssen ihren Usernamen ändern. Meldet euch bei mir bezüglich eures Wunschnamens. Wer sich nicht meldet, wird von mir nach eigenem Gutdünken umbenannt. Ein Infomail geht natürlich raus.
Ihr erinnert euch, dass ich im Laufe des letzten Jahres YouTube und weitere Integrationen über bb-Codes, die Iframes aufrufen, eingeführt habe. Ich werde diese Codes aus Sicherheitsgründen wieder abschalten. Künftig werden Videos von YouTube etc. direkt schon beim Schreiben umgewandelt, ohne den Umweg über iframe nehmen zu müssen. Ich werde dazu einen eigenen Thread (http://www.trekkingforum.com/forum/showthread.php?t=13947) eröffnen. WIE GESAGT, DAS IST EINE ZUSÄTZLICHE SICHERHEITSMASSNAHME, Malware-Eischleusung über diese Codes waren und sind nicht bekannt.
Grüße,
Andreas

AKTUALISIERUNG - INFO - 03.01.2009

Ich habe erneut Meldungen über Fehler erhalten. An dieser Stelle ein großes DANKE an alle, die so fleißig mithelfen, das Forum wieder fehlerfrei und sicher zu bekommen. Es ist nicht selbstverständlich und es freut mich besonders, dass viele es sich antun, alle Funktionen so genau zu prüfen.

Aktuell handelt es sich um inkrimierten Code im WYSIWYG (http://de.wikipedia.org/wiki/WYSIWYG)-Editor. Und, ja, es hat alles mit dieser Hackattacke zu tun. Gestern habe ich den fast 700 MB großen Gesamtcode in einen sicheren Ordner heruntergeladen und zwei unterschiedliche Virenscanner drübergelassen. Obwohl ich zuvor schon alle befallenen iframe-Tags gefunden und repariert habe, fanden sich weitere "böse Nester". Ein Virenscanner fand nichts, aber der sah "nur" die Dateien durch. Der zweite besah sich auch einzelne Codezeilen und fand tatsächlich .txt-Dateien, die "schlafenden" php-Code enthielten. Zwar konnten diese .txt-Dateien nichts anrichten, aber ein durchkommender "Bot" oder mutwilliger User mit Zugriff zum Webspace hätte nur das Dateiende von .txt auf .php umändern müssen.

Da dürfte ich wohl noch einiges an Arbeit vor mir haben :-/.

A.

AKTUALISIERUNG - INFO - 03.01.2009 - Nr. 2

Den Fehler im WYSIWYG-Editor habe ich nach langer Suche gefunden und repariert. Dabei konnte ich sehen, dass wirklich viele Codeteile inkrementiert worden sind.

Die linke Seitenleiste mit diversen Links habe ich vorerst deaktiviert, da ich mir nicht sicher bin, ob in diesem selbstgestrickten Teil nicht auch Sicherheitslücken existieren.

Grüße,
Andreas

AKTUALISIERUNG - INFO - 03.01.2009 - Nr. 3

Ich habe die linke Seitenleiste vollkommen neu aufgesetzt und Schwachstellen im Code und damit potentielle Angriffsflächen für das Einschleusen von Schadcode geschlossen. Dabei habe ich die Leiste auch etwas verändert:

ist nun etwas breiter
beginnt erst unterhalb der Menüzeile und nicht mehr direkt unter dem Titelbild
nicht mehr eine lange Codewurst, sondern einzelne Blöcke, die sich auch leichter ändern lassen
SCHEINT NICHT MEHR AUF ALLEN SEITEN AUF. zB beim Schreiben von Beiträgen oder im eigenen Kontrollzentrum wird man die Seitenleiste nun nicht mehr sehen. So ist man weniger abgelenkt.
Die meisten CSS-Fehler habe ich behoben, einige Kleinigkeiten, an denen ich mir bisher die Zähen ausgebissen habe, bleiben noch unerledigt.

A.

Hallo Andreas.

Das ist nun echt ein "anderes" Weihnacht und Neuhahr für Dich als Du es Dir vermutlich vorgestellt hast.
Für Deine mühe und Zeit die Du in dieses Projekt steckts ein großes Danke und allen guten Erfolg im 2009.

Navyo

Hallo Andreas,

schließe mich "ausnahmsweise" der Meinung von Navyo an. Hatte Dir ja schon per eMail gedankt.

Hoffen wir, dass das Problem nun behoben ist. Ohne Trekkingforum fehlt etwas!

Danke schön!


Gruß,
Hakku

AKTUALISIERUNG - INFO - 04.01.2009

Nachdem ich nun nochmals den ganzen Code durchforstet habe, sind noch zwei Fehler ungelöst, die durch die Hackattacke entstanden sind:

ein kleines CSS-Problem in der Navigationszeile, an dem ich mir total die Zähne ausbeiße. Ich komme einfach nicht drauf, wo der Fehler liegt. Aber damit können wir leben, wenn's denn so wäre, dass ich den Fehler nicht finde.
die Artikelforen funktionieren zwar, sind aber im Design total hinüber. Momentan bin ich noch ziemlich ratlos. Aber dieses Problem werde ich schon noch lösen.
Andreas

AKTUALISIERUNG - INFO - 04.01.2009 - Nr. 2


Ich konnte den Code und das CSS der Artikelforen wieder hinbiegen. Es sollte eigentlich alles funktionieren. Bei Fehlermeldungen bitte bei mir melden.

Das kleine CSS-Problem (unsaubere Darstellung am rechten Rand in der Navigationszeile in der Forenübersicht) konnte ich noch nicht lösen. Es ist zum Verrücktwerden. Vielleicht kann sich der eine oder andere HTML- und CSS Erfahrene einmal den Quellcode anschauen. Ich glaube, dass es an einer unsauberen div-Container Definierung liegt, aber warum gibt es dann bei Unterseiten kein Problem?
Andreas
Nachtrag: leider wieder einen Fehler gefunden: Derzeit kann man keine Interessensgemeinschaften gründen.

AKTUALISIERUNG - INFO - 04.01.2009 - Nr. 3

Es war etwas mühsam, da ich alle Plugins einzeln aus- und wieder anschalten musste, dazwischen immer alle Variablen durchprüfen. Aber ich konnte es festmachen:

Nun geht es wieder, neue Interessensgemeinschaften zu gründen.

Ich werden morgen (am 05.01.) nochmals alles prüfen, und wenn alles passt, werde ich das Forum wieder offiziell freigeben und ein entsprechendes Mail an alle User veranlassen.

A.

Das kleine CSS-Problem (unsaubere Darstellung am rechten Rand in der Navigationszeile in der Forenübersicht) konnte ich noch nicht lösen. Es ist zum Verrücktwerden. Vielleicht kann sich der eine oder andere HTML- und CSS Erfahrene einmal den Quellcode anschauen. Ich glaube, dass es an einer unsauberen div-Container Definierung liegt, aber warum gibt es dann bei Unterseiten kein Problem?

Kannst du (evtl. mit Screenshot und Angabe des betroffenen Browsers) nochmal genau sagen worum es geht? Bin so nicht sicher ob ich weiß was du meinst bzw. wie es eigentlich aussehen sollte.

Falls du die noch nicht kennst: Firebug (http://getfirebug.com/) und evtl noch die Web-Developer Toolbar (http://chrispederick.com/work/web-developer/) (beide für Firefox) sind bei sowas sehr nützlich.

Also eines vorweg: dieses Darstellungsproblem tritt NICHT mit dem FF auf, sondern nur mit dem IE (habe bei beiden die neueste Version). Vor dem Hackattack gab es das Problem nicht. Aber da ich den Style - unbemerkt von den Usern - vollkommen neu aufgesetzt habe, muss sich irgendwo ein kleiner Fehler eingeschlichen haben, und blöderweise finde ich ihn nicht mehr.

Im Anhang ein Screenshot des Schönheitsfehlers, den ich meine.

Zur Erklärung: Er tritt nur bei den Übersichtsseiten auf, aber nicht bei Unterseiten.

Die FF Extensions kannte ich noch nicht. Werde sie mir einmal zu Gemüte führen.

Wenn ich den Fehler nicht finde, muss ich wohl den Style nochmals neu aufsetzen müssen, angefangen von den CSS-Definitionen bis zu den diversen Codeänderungen zur Darstellung diverser Behübschungen, wie zB den Rahmen um die Avatarbilder.

A.

Das erklärt auch, warum mir der Fehler nicht aufgefallen ist. ;) IE hab ich unter Linux nicht, muss mal gucken ob ich mir das Problem in den nächsten Tagen mal ansehen kann.
In dem Fall helfen natürlich auch die FF-Extensions nur eingeschränkt (nur falls der Fehler wirklich ein formeller Fehler ist, und nicht bloß eine Unregelmäßigkeit beim IE, die ein Workarround braucht).

Allerdings sieht mir das wirklich nach einer Kleinigkeit aus, die niemanden ernsthaft beeinträchtigt. Ich weiß nicht, ob es lohnt, da viel Arbeit reinzustecken, wo du ohnehin schon "ungeplante Überstunden" fürs Forum machen musstest.

Allerdings sieht mir das wirklich nach einer Kleinigkeit aus, die niemanden ernsthaft beeinträchtigt. Ich weiß nicht, ob es lohnt, da viel Arbeit reinzustecken, wo du ohnehin schon "ungeplante Überstunden" fürs Forum machen musstest.Naja, ich sage mir das auch immer wieder, aber auf der anderen Seite ist es ein kleiner Stachel, der mich unablässig sticht :cry:. Es stört mich einfach.
Aber vielleicht lass ich es einfach und schau mir das Problemchen beim nächsten Sicherheitsupdate nochmals an :-/.



AKTUALISIERUNG - INFO - 06.01.2009

Manche User scheinen mit den Reperatur- und Änderungsarbeiten nun Cookie- und / oder Cacheprobleme zu haben:
Auf manchen Rechnern geht es problemlos, auf anderen kann man nicht schreiben oder wird ausgeloggt, wenn man die Seite wechselt.

DAS IST KEIN SOFTWAREFEHLER, sondern hat mit den internen Einstellungen des eigenen Rechners zu tun.

Was fast immer hilft ist folgendes:

ausloggen
Temporäre Internetdateien löschen
Beim IE: Extras -> Internetoptionen -> Register "Allgemein" -> Löschen... -> Temporäre Internetdateien: Dateien löschen
Beim FF: Extras -> Einstellungen -> Register "Datenschutz" -> Abschnitt "Private Daten": Einstellungen -> den Hacken bei "Cache" setzen -> "Okay" klicken -> "Jetzt löschen" klicken -> "Private Daten jetzt löschen" klicken

alle Browser / Tabs schließen
neu aufrufen
einloggen: und geht's jetzt?
Wenn das nicht hilft, dann bitte auch die Cookies löschen:
Das geht im Prinzip genau gleich wie oben, aber statt den Cache oder die Temporären Internetdateien wählt man Cookies. ACHTUNG: automatische Logins gehen dann bei anderen Web 2.0 Anwendungen auch nicht und ihr müsst euch bei jeder Anwendung, die ihr besucht wieder neu einloggen.

Ich denke, dass die meisten Fehler bis auf ein paar kleine "Schönheitsproblemchen" jetzt gelöst sind. Ich mache jetzt noch einen Totalcheck und werde dann das Forum wieder offiziell freigeben. Eine Newsletteraussendung wird es geben.

Beste Grüße,
Andreas

PS: Im Zuge des "Neustarts", den ich im "Quo Vadis" Thread angekündigt habe, werden als nächstes dann die Forenregeln, das User Agreement, die Netikette und eine Präambel definiert. An dieser Stelle schon mal der Dank an meine Moderatoren und einige Leute mehr, die sich in den letzten Monaten schon sehr viele Gedanken dazu gemacht haben. Ein Unterforum habe ich schon eingerichtet.

AKTUALISIERUNG - INFO - 06.01.2009 - Nr. 2

Nachdem ich alles noch einmal durchgecheckt habe, kann ich feststellen, dass alles anscheinend wieder passt. Sollte jemand noch Fehler bekommen, bitte unter Angabe der genauen Umstände, Beschreibung und ev. Screenshots hier posten oder mir mailen.

Andreas

auch ich möchte mich für deine Arbeit und die viele Zeit die du investierst hast bedanken.
Es ist leider schade wie man dir das Weihnachtsfest vermiest hat, dafür hast du aber eine treue und auch dankbare Community.

liebe Grüße rebel

Hallo Andreas,

ich empfehle, den quellcode als kopie zuhause auf dem rechner zu haben um nach solchen "angriffen" einfach den webspace zu löschen, lokales backup reinentpacken und fertig...

dann brauchst auch nich tausende files nach änderungen zu durchforsten...

Ich gehöre zwar nicht gerade zu den eifrigsten Benutzern dieses Forums, trotzdem schätze ich es sehr als zuverlässige Anlaufstelle für Trekkingfragen aller Art.

Deshalb möchte ich dem Administrator herzlich danken für all die Mühe, das Forum zu 'pflegen' - sogar über die Feiertage - und für die laufenden Infos via E-Mail!

Beste Wünsche fürs neue Jahr,

Siina

mein nickname in_avalon enthält einen unterstrich
wie wäre es statt dessen mit inavalon?
gruss p haecker

mein nickname in_avalon enthält einen unterstrich
wie wäre es statt dessen mit inavalon?
gruss p haeckerWunschgemäß erledigt :)

Gruß,
Andreas