Burning Forum
Dungeonslayers => Allgemein => Thema gestartet von: wuzi am 16. April 2018, 09:08:04
-
Hey, weil's irgendwie bei all meinen Geräten ist, wenn man auf die dungenslayer.net seite geht, kommt man auf irgendeine spam seite. Die unterseiten funktionieren regulär. Ist das nur bei mir so?
-
Das ist mir auch schon aufgefallen, wenn mans dann ein zweites Mal eingibt funktionierts aber...
-
Ja, bei mir auch - ich wollte es auch gerade reinschreiben.
-
Das Problem besteht offenbar immer noch.
Was kann man gegen so was machen?
-
Ich habe CK informiert. Er ist da dran.
-
ich wollte fragen obs behoben ist - weil ich sehe nichts (habe allerdings chromium+adblockplus).
-
Scheint behoben zu sein :thumbup:
-
Jap, funktioniert wieder :+1:
-
Danke CK!
-
Hiho!
Ich trau dem Braten noch nicht.
Seit Januar gab es 4 Angriffe, der letzte war am massivsten. Alles noch recht easy behebbar, mögliche Schlupflöcher geschlossen, doch wir müssen das noch beobachten.
Bis dahin Obacht und Vorsicht plz.
-
Ich wurde gerade wieder umgeleitet...
-
Ich wurde gerade wieder umgeleitet...
Dito
*Beliebige Schimpfwörter einfügen* die sonen Mist machen >:(
-
ja, ich habe wohl zu früh gejubelt...
-
Und jetzt hatte ich es zum ersten Mal, dass ich von der HP aus zum Forum auf die Spam-Seite umgeleitet wurde (bislang immer nur, wenn ich auf die HP wollte)
-
Und jetzt hatte ich es zum ersten Mal, dass ich von der HP aus zum Forum auf die Spam-Seite umgeleitet wurde
Das war bei mir aber schon die ganze Zeit so :(
-
Der slayerpit link auf der Hauptseite is leider auch betroffen
-
Der slayerpit link auf der Hauptseite is leider auch betroffen
Ebenso die Slaylist, ins Forum bin ich dagegen ohne Spam gekommen
-
(https://memegenerator.net/img/instances/57579181/its-spreading-everywhere.jpg)
Irgendjemand sollte irgendwie irgendetwas tun. :'(
-
HP aus zum Forum
Der slayerpit link auf der Hauptseite
Ebenso die Slaylist, ins Forum bin ich dagegen ohne Spam gekommen
its spreading everywhere...
Irgendjemand sollte irgendwie irgendetwas tun. :'(
Zur Klarstellung und vorbeugend für irgendwelche Panikmache hier.
Die Domäne *.dungenslayers.net ist offenbar befallen durch eine spam link injection. D.h. sobald man die Homepage selbst oder dort einen Link anklickt, dann wird der Browser anstatt dem eigentlichen Ziel eine Spamseite öffnen. Die Ziele selbst sind aber sauber, insbesondere Forum und Slayer's Pit.
Der Handlungsbedarf besteht seitens des Webmasters von www.dungenslayers.net, also vermutlich CK.
-
Du kennst dich am besten aus avakar. Was kann man da machen?
Bis zur Lösung: ich gehe zur slayerspit und zum Forum über die direktlinks als Bookmark.
-
Du kennst dich am besten aus avakar. Was kann man da machen?
Das kann ich leider nicht beantworten, dazu kenne ich mich im Detail zu wenig aus.
Man wird den Infektionsweg und die Art des Angriffs ausfindig machen müssen, dann die vorhandenen Daten und den Quellcode nach Verunreinigungen durchforsten. Danach muss man überlegen wie man die Verunreinigungen beseitigt und die konkrete Lücke nachhaltig schließt. Das ist echter Aufwand und nicht zu unterschätzen.
Desweiteren muss man grundsätzlich Maßnahmen ergreifen wie man die Angriffsfläche auf die Homepage reduzieren kann und einen schnellen Prozess zum Einspielen von Updates aufbauen. Auch muss man überlegen, wie man Änderungen am Quellcode feststellen kann (z.B. Versionskontrollsystem).
Bis zur Lösung: ich gehe zur slayerspit und zum Forum über die direktlinks als Bookmark.
Ja, das ist korrektes Anwenderverhalten. www.dungeonslayers.net sollte wie alle Spamseiten von Nutzern nicht mehr aufgerufen werden.
-
Ich bekomme hier echt n Hals - ich befolge sämtliche Anweisung und trotzdem zickt die Gülle noch.
Notfalls muss ich die Seite komplett plätten, wobei ich gar nicht mal glaube, dass das was bringt.
Nehme gerade nochmal Reparaturen vor...
-
Weiß nicht ob eine Bestätigung weiter hilft. Ich bin heute nicht ein einziges mal umgeleitet worden von der Hauptseite. (Sonst hatte ich immer eine Fehlerseite da unsere Firewall automatisch das Ziel blockiert hatte.
Wenn noch jemand was bekommt vielleicht den Cache leer machen?
Aber hier läufts...!
-
Weiß nicht ob eine Bestätigung weiter hilft. Ich bin heute nicht ein einziges mal umgeleitet worden von der Hauptseite. (Sonst hatte ich immer eine Fehlerseite da unsere Firewall automatisch das Ziel blockiert hatte.
Wenn noch jemand was bekommt vielleicht den Cache leer machen?
Aber hier läufts...!
Nach dem leeren des Cache werde ich (zumindest für den Moment) auch nicht mehr umgeleitet.
-
@ CK,
hat es vlt damit etwas zu tun?
https://www.computerbase.de/2018-04/drupal-gefaehrliche-luecke/
-
Bei mir läuft es momentan auch super ???
Super, dass drauf geguckt wird :thumbup:
-
Leider hat es nur 48 Stunden gehalten und geht (zumindest bei mir) jetzt wieder los...
-
Bestätigt... Umleitung ist wieder drin
-
Ja, es tritt wieder auf.
Eine Netzwerkanalyse zeigt auch, warum die Umleitungen nur sprodaisch auftreten:
Der Schadcode auf dem Server setzt ein Cookie 'a777d' mit einer Gültigkeit von ~10 Stunden. Hieran identifiziert der Schadcode offenbar, ob der Besucher schon einmal umgeleitet wurde oder nicht. Wenn das Cookie nicht vorhanden ist, dann wird man umgeleitet, ansonsten erst nach Ablauf des Cookies wieder. Damit ist auch das Phänomen erklärt, dass der zweite Aufruf nach Umleitung von www.dungenonslayers.net funktioniert.
Die Umleitung kommt dadurch zustande, dass in der ersten Zeile der HTML-Antwort folgendes Tag von Schadcode untergeschoben wird, falls das Cookie nicht vorhanden ist:
<script>window.location.replace("http://someupon.tk/index/?2601510941471");window.location.href = "http://someupon.tk/index/?2601510941471";</script><br />
Die Links der Weiterleitungen variieren.
Das Verhalten lässt darauf schließen, dass sich der Unhold in einer (zentralen?) php-Datei oder Funktion, eingenistet hat.
CK, vielleicht hilft dir das etwas weiter?
-
Definitiv, ich glaube, ich habe auch schon was und teste gerade... *aufuhrschiel*
-
Ich hoffe ja, dass man das bald in den Griff bekommen kann. Ich habe das Gefühl, dass immer weniger hier im Forum los ist - und das (auch) auf Grund dieses Problems...
-
Ich habe das Gefühl, dass immer weniger hier im Forum los ist - und das (auch) auf Grund dieses Problems...
Das ist immer phasenweise ...
rund um die Slayvention bis hin zum Community Kalender ist hier immer recht viel los.
Hinzukommt, das :*s: als solches "rund" ist und keine Neuerungen anstehen.
(neue) Fanwerke lockern das Geschehen zwar auf, ansonsten ist es relativ ruhig.
Viele Fragen lassen sich durch die Suchfunktion bereits beantworten.
-
Ich lehne mich ungern aus dem Fenster, aber ich glaube, das "Viren"-Problem ist imho nicht mehr existent. Seit FR scheint es geklappt zu haben.
-
Ich lehne mich ungern aus dem Fenster, aber ich glaube, das "Viren"-Problem ist imho nicht mehr existent. Seit FR scheint es geklappt zu haben.
Dann hoffen wir mal auf das Beste. Können wir dann also am Wochenende das zweite Paket erwarten? :-X
-
Ich lehne mich ungern aus dem Fenster, aber ich glaube, das "Viren"-Problem ist imho nicht mehr existent. Seit FR scheint es geklappt zu haben.
Ja, über das WE ist es nicht mehr aufgetreten.
-
Dann hoffen wir mal auf das Beste. Können wir dann also am Wochenende das zweite Paket erwarten? :-X
Definitiv vorher, ich hab bloß am FR - nachdem ich eigentlich dachte, es ist behoben - mich nochmal dem "Problem" widmen müssen und wusste noch nicht, ob es das jetzt war, daher die Verzögerung.
-
Ich habe das Gefühl, dass immer weniger hier im Forum los ist - und das (auch) auf Grund dieses Problems...
Das ist immer phasenweise ...
rund um die Slayvention bis hin zum Community Kalender ist hier immer recht viel los.
Hinzukommt, das :*s: als solches "rund" ist und keine Neuerungen anstehen.
(neue) Fanwerke lockern das Geschehen zwar auf, ansonsten ist es relativ ruhig.
Viele Fragen lassen sich durch die Suchfunktion bereits beantworten.
Nunja - es ist schon gar wenig los hier momentan - ich schiebe es mal aufs Wetter. Zwei Fragen stellen sich mir:
- Meintest du wirklich STARSLAYERS? Ich dachte das ist eben noch nicht "fertig".
- Ich finde die Suchfunktion echt nicht gut. Vorallem wegen der ganzen alten Threads mit den vielen "?" - ich finde meist gerade nicht was ich suche, weil gewissen Begriffe einfach nicht gefunden werden - "Rüstung", "Würfel/Würfe" sind da nur Beispiele für "Problembegriffe".
@CK: Danke vielmals!
-
meinte :ds:
Ich komm mit SuFu ziemlich gut klar, denke aber das ist bei jedem auch so ne subjektive Nummer
-
Ich bekomme langsam echt HASS - wollte eben Download 2 auf den Weg schicken und dann ist diese Scheisse immer noch in meinem Webspace :'(
@avakar: Glaube, wir müssen uns mal zusammen da reinklinken - ich sitze da jetzt seit Wochen dran und bekomm die Scheisse nicht weg.
@All: Sry, Leute, mich nervt das selber am allermeisten - kann doch nicht sein.
-
@avakar: Glaube, wir müssen uns mal zusammen da reinklinken - ich sitze da jetzt seit Wochen dran und bekomm die Scheisse nicht weg.
Christian, bitte nimm die Seite sofort vom Netz.
Mittlerweile schlägt bei einem Besuch der Virenscanner an, d.h. die Seite gefährdet alle Besucher.
Am Freitag hätte ich Zeit, ggf. Sonntag auch. Oder abends unter der Woche, aber dann brauche ich einen selbstständigen unabhängigen Admin-Zugang.
-
Und weg ist sie.
-
Slaylichsten Dank an unseren Helden Avakar!!! :thumbup: :thumbup: :thumbup: :+1: :+1:
-
Und nun. Wo ist sie?
:'(
-
Hab gerade versucht dem Link von CK auf das Spielleitertutorial auf der DS-Seite zu folgen und mein Sophos ist wieder angesprungen. Könnte sich das vielleicht nochmal jemand anschauen? Nicht das der Mist wieder von vorne losgeht. :-\
-
Auf der .net-Seite ist mein System lieb und brav.
-
Also schon infiziert. :D
Ne im Ernst. Bei mir funktioniert die .de-Seite gut, aber da jeder Link auf .net geht, springt bei mir immer eine Sophosmeldung rein, die sagt "blocked by Sophos Surf Protection". Wollt es nur rechtzeitig anmerken.
-
Kann es sein, dass die noch im System haben, dass die Seite infiziert war? Oder dass sie die Umleitung als Gefahr sehen?
-
Sollte eigentlich alles sauber sein, Avakar war mehr als gründlich.
-
Über mein Tablet funktioniert alles normal. Könnte es sein das die Cookie abfrage vielleicht die Warnung auslöst?
-
Ne im Ernst. Bei mir funktioniert die .de-Seite gut, aber da jeder Link auf .net geht, springt bei mir immer eine Sophosmeldung rein, die sagt "blocked by Sophos Surf Protection". Wollt es nur rechtzeitig anmerken.
- Von welcher Seite kamst du? URL?
- Worauf hast du geklickt? URL?
- Passiert das auch, wenn du von *.net auf einen Link nach *.net klickst?
- Welchen Browser nutzt du?
Achso, gibt es die Fehlermeldung vom Sophos auch genauer?
-
Ich kam von hier: Link (https://forum.burning-books.de/index.php?topic=9748.msg151620#msg151620)
Ich klickte auf den Link von CK. Link (http://www.dungeonslayers.net/spielleiter-tutorial/spielleiter-tutorial-teil-5/)
Ja.
Mozilla Firefox.
Ironische Geschichte wegen der Meldung. Vorgestern kam ebenfalls noch die Meldung beim Heim-PC. Da hatte das McAfee angeschlagen. Jetzt wollt ich dir Screenshots davon schicken und es kommt keine Meldung mehr. Bin verwirrt und zweifel an meiner eigenen Zurechnungsfähigkeit... :-\
-
Mozilla Firefox.
Gut, lass mal auf die Cookies der Seite schauen. Dazu mach bitte folgendes:
- Gehe auf http://www.dungeonslayers.net/spielleiter-tutorial/spielleiter-tutorial-teil-5/
- F12
- Web-Speicher
- Cookies
- http://www.dungeonslayers.net
- Screenshot der Liste, "Läuft ab am", "Zuletzt zugegriffen", "Wert" sollten gut erkennbar sein.
Ein Beispielscreen ist im Anhang.
Ironische Geschichte wegen der Meldung. Vorgestern kam ebenfalls noch die Meldung beim Heim-PC. Da hatte das McAfee angeschlagen. Jetzt wollt ich dir Screenshots davon schicken und es kommt keine Meldung mehr. Bin verwirrt und zweifel an meiner eigenen Zurechnungsfähigkeit... :-\
Die alte Infektion hatte eine einfache Verschleierungstaktik: Einmal wird man weitergeleitet, dann zwei Wochen Ruhe, dann einmal Weiterleitung, dann wieder Ruhe, ... Gesteuert wurde das über die Existenz eines Cookies.
Ich habe aktuell aber eine andere Vermutung. Auf der Seite genutzte Plugins binden externe Javascript-Scripte ein, d.h. sie laden externen Content. Für solche Scripte gibt es Sicherheitsvorgaben und deren Einhaltung wird von Browsern und ggf. Antivirus-Herstellern (AV) beäugt und bewertet. Auf der DS-Seite kommt es hier zu einigen Warnungen, wodurch dann beim AV ein Alarm getriggert wird. (Screenshot auch im Anhang).
-
Naja... ich sag mal: Ist auch der Arbeitslaptop, kann sein, dass die Seite wegen der externen Scripte gesperrt wird. Hab mal die Meldung als Screenshot angehängt, Admin geschwärzt.
Die .de-Seite wird auch nicht ordentlich angezeigt, es kommt aber nicht die Blocked-Meldung. Für die .net-Adresse steht an der von dir mit Screenshot angehängten Stelle nix drin. Wird offensichtlich sofort alles verworfen. Die .de-Seite geht, aber es werden z.B. nicht alle Hintergründe oder Bilder dargestellt und auch die Formatierung macht eher den Eindruck als wärs im "Abgesicherten Modus".
-
In der Sophos Meldung steht der Grund: "Reputation Limit".
Das basiert offenbar auf https://trustedsource.org/en/feedback/url, einer mehr oder weniger intransparenten Einstufung von Webseiten. Hier wirds lustig für MacAffee SmartFilter XL:
https://www.dungeonslayers.de
- Categorized URL
- Games
- Forum/Bulletin Boards
= Minimal Risk
https://www.dungeonslayers.net
- Categorized URL
- Games
- Malicious Sites
- PUPs (potentially unwanted programs)
= High Risk
Insofern erstmal Entwarnung.
-
Nunja - :ds: hatte ja ein Problem - insofern ist die Einstufung zumindest nicht von irgendwoher...
-
https://www.dungeonslayers.net
- Categorized URL
- Games
- Malicious Sites
- PUPs (potentially unwanted programs)
= High Risk
Insofern erstmal Entwarnung.
Das ist genau die Art Meldung die ich bekommen habe. Nur halt auf Deutsch. Wenn das so ist, dann gut dass wir mal drüber gesprochen haben. :thumbup:
-
Nunja - :ds: hatte ja ein Problem - insofern ist die Einstufung zumindest nicht von irgendwoher...
Ärgerlich ist es dennoch. Zum einen ist https://www.dungeonslayers.de und https://www.dungeonslayers.net _das selbe_, daher sind unterschiedliche Bewertungen nicht nachvollziehbar. Zum anderen ist der Befall ca. 6 Monate her. Gemessen an den kurzlebigen Zyklen im Internet wäre es angemessen, dass der Hersteller seine Datenbank sehr häufig aktualisiert. Das ist aber natürlich nicht in deren Sinn.