Aber Burgy muss das Problem wohl noch lösen.

Die Seiten auf eine AS/400 packen? :-)

-h

Ich habe ja keine Ahnung, wie man von außen eine Internetseite auf dem Server hackt.
Wenn man das auf eine AS/400 legt kann das wohl auch passieren, insbesonders wenn man Scriptsprachen verwendet oder dynamischen Code erstellt. Wie sicher diesbezüglich PHP auf AS/400 ist weiß ich nicht, aber mit Java/CGI's wird es solche Probleme eher selten geben.
Vorausgesetzt man hat sein IFS vernünftig geschützt und berechtigt.

XSS (Cross Site Scripting) Cheat Sheet (http://ha.ckers.org/xss.html)

Ich wollte mich ganz herzlich bei den NEWSboardern und ganz besonders bei Fuerchau bedanken für die schnellen Hinweise. Mehrere Angriffswellen gegen die Infektion waren nötig. Die dadurch entstandenen Unannehmlichkeiten bedauere ich sehr. Ich bitte darum, sollte ein weiterer Angriff folgen, mich wieder so toll zu informieren. Es ist schade, dass ich den Server zwei Tage offline nehmen musste, aber der Rückfall am Montag hat dieses Verhalten wohl gerechtfertigt.

Die Schwachstelle war Javascript der auf der Clientseite ausgeführt wurde, und an sich auch keinen Virus darstellt, sondern nur Fremdsoftware herunterlädt. Diese wiederum nutzt zwei Sicherheitslücken, um ein Package an bösartigen Tools auf dem Client PC zu installieren und auszuführen.

Nach allem was ich so gehört habe handelt es sich um die Security Sphere 2012, die am schnellsten und einfachsten entfernt werden kann, indem die befallene Festplatte von einem anderen Rechner aus gescannt wird. Aktuelle Virenscanner mit Malware bzw. Browser-Schutz erkennen die verwendeten Viren/Trojaner/Downloader/Rootkits. Es ist schade, das derart brillante Arbeit so unglaublich schwachsinnig und kriminell negativ eingesetzt wird.

Mit herzlichen Grüßen an alle NEWSboarder
Euer Burgy

PS und vielen Dank nochmal für die Information und besonderen Dank an Herrn Fuerchau.

Ich habe die Beiträge sehr wohl gelesen und melde mich erst jetzt, weil ich bisher meine Energie der Bekämpfung gewidmet hatte, ich bitte dies zu entschuldigen.

Das Problem bei der Virenjagt war, dass zunächst alle Softwarepackete die in NEWSolutions.de zusammen spielen mitsamt Plugins aktualisiert und gepached werden mussten. Leider kann eine Infektion auch in einer Datenbank gespeichert werden, ebenso wie in einer Javascript Datei, einer PHP Funktion eingebaut werden etc. Typische Sicherheitslücken in Webseiten sind auch unechte Bilder, die eine fehlerhafte Überprüfung des Mimetype als Lücke nutzen. In diesem Fall war es ein echter Hack, oder mehrere echte Hacks. Der Hack ist seit ca. 15 Tagen bekannt und auch die neu aufgespielte Version wurde inzwischen gehackt. Ich habe daher eine manuelle Sicherheitsschranke per htaccess installiert. Diese macht uns zwar das Arbeiten zur Hölle, wirkt sich aber auf die eigentliche Internetseite überhaupt nicht aus. Sobald weitere Patches verfügbar sind wird sich auch diese Situation wieder ändern und auch bei uns kehrt wieder Ruhe ein.

Bei allen die eine Infektion erlitten haben, möchte ich mich ganz herzlich entschuldigen, und erklären, dass ein derartiger Hack nur schwer aufzuspüren ist. Bei über 50.000 Files in hunderten von Ordnern sowie zahlreichen und umfangreichen Datenbankbesständen von einigen hundert MB können die schädlichen 5 Zeilen Code leicht übersehen werden. Zumal sie selbst "nur" eine Fremde Seite integrieren. Leider geben auch die Virenscanner keinen Aufschluss darüber welche Codestelle nun den Alarm ausgelöst hat.

Danke für die Wachsamkeit und Unterstützung Euer Burgy

Bei mir stehen manche Menüpunkte auf Spanisch oder so. Habt ihr das auch? oben in den PMs z.B. steht "Mensajes Privados"...

Über das Menü "Nützliches"->"Einstellungen ändern" kannst du ganz unten die Sprache für dich anpassen.

Ggf. versucht die Forumssoftware über die IP-Adresse eine Sprache herauszufinden und nimmt fälschlicherweise Spanisch an.