trojaner vom forum verteilt

[RAT]

# was Shihatsu schreibt (möp btw )

Wenn ich Skripte oä anpasse, brauche ich sowohl eine (vertraute!) Arbeitsumgebung, bei mir zB UltraEdit, Corel, TotalCommander, andere .php-Dateien als Vorlage etc. als auch Zugriff auf den FTP und die DB. Ich kann die meisten Skripte nicht lokal testen, weil ich natürlich nicht die ganzen DBs lokal vorhalte und auch kein (mit evtl. mehrmals täglichen Updates) Forum installieren möchte. Parallel dazu eben die normalen Kommunikationsmittel wie IRC und Mail. Letztendlich läuft das auf NFS-Shares hinaus. Das hebelt den Gedanken der physisch getrennten Systeme aus, macht also keinen Sinn. Und ich werde mir ganz sicher nicht auf meine Kosten (sowohl finanziell als auch räumlich) eine Linux-Entwicklungsumgebung auf einem Extra-Rechner installieren.

 

[pinadgo]

hab gerad erst die trojaner-news mitbekommen. ich weiss nicht sicher, ob ich am besagten dienstag zu der zeit im board online war. ich kann mich noch schwach daran errinnern, dass das board nicht erreichbar war, aber ob ich danach dann nochmal drauf war weiss ich einfach nicht mehr.
hab bei mir aufm pc (win xp & antiVir) nach den ganzen verdächtigen dateien gesucht, aber weder in den ordnern noch in der registry / msconfig sind irgendwelche von den einträgen, die für einen befall sprechen.
nur um jetzt sicher zu gehen: könnte es sein, dass sich der trojaner auf mein pc geladen hat und jetzt die ganzen dateien wieder gelöscht hat ("spuren verwischen"), der trojaner aber trotzdem noch drauf ist?

lg

 

[Wizard]

Man weiß es nicht. Der Trojaner lädt ja irgendwelche andere Schadsoftware nach. Und ab da kann dir keiner so genau sagen, was passiert. Auf jeden Fall würde ich nochmal mit andern Scannern drübergehen, da AntiVir in diesem Fall den Trojaner gar nicht erkannt hat.

 

[Silencer23]

Eine 100%ige Sicherheit dafür kann dir hier niemand geben.
Schau dir bitte mal den Sticky an, da wird eigentlich ganz gut beschrieben, wo du genau suchen musst.
Ansonsten scanne dein System im abgesicherten Modus mal nach Viren.
Dazu kann es evtl notwendig sein, das du im abgesicherten Modus einen neuen Virenscanner installieren musst. Avast hat sich bewährt.

Gruss Silencer23

 

[Pitti911]

Eigentlich wollte ich ja nicht nochmal hier antworten. (Die Art und Weise wie shihatsu mir das mitgeteilt hat fand ich nicht gerade angemessen, auch wenn er mit der Aussage recht hat)

Aber weil du das nochmal so schön sachlich formuliert hast antworte ich doch

Ich kann euch (vorallem nach der ausführlichen erklärung von RAT) verstehen. Vorallem verstehe ich, dass du/ihr keine Lust habt auf eure eigenen Kosten eine Linux-Entwicklungsumgebung zu installieren.

Aber wenn ihr (habt ihr ja selbst gesagt) eine so geringe Anzahl an leuten seid, die FTP-Zugriff auf die Server haben, dann verstehe ich wiederum InGame nicht - Wie viele Leute seid ihr? Vllt 10,15 Leute? Atom-PCs (Raumbedarf~1L + switch-schalter für Monitor/Tastatur/Maus) gibts für 500€, die Ausreichend Leistung dafür haben sollten. Das wäre eine Einmalinvestition(die Linux-Kernels sind kostenlos) von 7500€. Ich kann mir nicht vorstellen, das InGame sich das nicht leisten kann

Naja wie auch immer: eigentlich sollte es mir sowieso egal sein. Drum werd ich mich zu dem Thema sicherheit bei den Zugriffsberechtigten nicht weiter äußern.
Einzig eine Bitte: nehmt beim nächsten (hoffentlich gibt es keines) Mal die Seite komplett vom Netz. Mir hätte es eine Nacht desinfec't laufen lassen und geringe Sorgen erspart.(wahrscheinlich vielen Anderen auch und teilweise auch mehr als nur die Sorgen )
So und eine letzte Frage zu den Interna: gibt es jetzt schon einen Notfallplan für solche Fälle?

@shihatsu: mit mir kann man auch in einer ordentlichen Form reden

@F.H. Das antivir den Trojaner nicht erkannt hat solltest du nicht so allgemein sagen. Meines hat den Angriff erkannt und auch gebannt, wie mir der Scan diese Nacht gezeigt hat. (wegen Daten-Scan-Geschwindigkeit: Die lag bei ~80Dateien pro Sekunde )



Gruß Pitti

 

[Shihatsu]

wenn dir mein ton nicht gefallen hat, tut mir das leid, und ich entschuldige mich bei dir. ich dachte, du wüsstest wovon du da redest, aber dem ist nicht so, wie ich jetzt merke (das ist jetzt kein angriff!). allein bei PlanetDiablo arbeiten 70 ehrenamtliche mitarbeiter, ingame besteht aus > 10 seiten. sicherlich haben davon nicht alle ftp zugriff, aber doch einige. diese machen das aus spass - mir machts kein spass, auf nem extra system rumzugurken - das schulen der leute auf linux gibts dann auch umsonst oder was? entschuldigung, aber das geht an der realität vorbei (um jetzt mal das wort träumerei zu vermieden). das ist einfach nicht, geschweige denn das es spass macht. solltest du leuten, die sich damit auskennen einfach mal glauben. ich benutze beruflich mehrfach gestaffelte stages, dev, integrations, qs und live systeme, und weiss was das für einaufwand ist - und da ist der atom-pc das geringste übel. schlichtweg nicht praktikabel bei uns, schlags dir ausm kopf.

 

[mfb]

Es sind deutlich mehr als 10-15 Leute, die einen FTP-Zugang brauchen. Ist ja nicht nur PlanetDiablo, sondern ein Netzwerk aus 10 Seiten und dem Portal.

>> gibt es jetzt schon einen Notfallplan für solche Fälle?
Die Theorie ist ganz einfach - ist immer nur fraglich, wie schnell das dann im Ernstfall tatsächlich alles abläuft.

 

[TheCrew]

Man kann immer noch ein bisschen mehr an Sicherheit
aufbauen, Security steht aber auch immer in konkurrenz zur Usability.
Leute die hier Zugang zu im Internet präsenten Systemen haben, sollten ihr OS und den Virenscanner aktuell haben,
vielleicht sinnigerweise keine Passworte in Applikationen speichern und nicht sinnlos auf jeden Link klicken.
Aber das Arbeiten von Livesystemen, Zweitsystemen aus
nur um sich hier einzuloggen ist aber wohl mit Kanonen auf Spatzen geschossen.

Das hier ist keine Hochsicherheitsumgebung.

 

[RoMa]

Man kann immer noch ein bisschen mehr an Sicherheit
aufbauen, Security steht aber auch immer in konkurrenz zur Usability.
Leute die hier Zugang zu im Internet präsenten Systemen haben, sollten ihr OS und den Virenscanner aktuell haben,
vielleicht sinnigerweise keine Passworte in Applikationen speichern und nicht sinnlos auf jeden Link klicken.
Aber das Arbeiten von Livesystemen, Zweitsystemen aus
nur um sich hier einzuloggen ist aber wohl mit Kanonen auf Spatzen geschossen.

Das hier ist keine Hochsicherheitsumgebung.

Das sehe ich defintiv nicht so. Anzumerken bleibt aber, dass ich und andere die inneren Abläufe bei ingame nicht kennen und das somit auch nur aus der Ferne beurteilen können. Insofern war das meinerseits nur als Tipp zu verstehen. Was ihr letztlich draus macht, ist eure Sache.

Allerdings ist die Aussage "Kanonen auf Spatzen" so pauschal - sorry - vollkommener Käse.

 

[TheCrew]

Das sehe ich defintiv nicht so. Anzumerken bleibt aber, dass ich und andere die inneren Abläufe bei ingame nicht kennen und das somit auch nur aus der Ferne beurteilen können. Insofern war das meinerseits nur als Tipp zu verstehen. Was ihr letztlich draus macht, ist eure Sache.

Allerdings ist die Aussage "Kanonen auf Spatzen" so pauschal - sorry - vollkommener Käse.

Weil du nur die Vorteile von sowas siehst, ich nenn es mal
"Beratersyndrom", ich sag was Ihr machen solltet, die Umsetzung ist eure Sache.

Sinniger müsste es aber dann für dich sein, dass du von einem Read-only System ins inet gehst, denn es gibt ja noch ein paar mehr Seiten ausser ingame.

Die Aussage war nicht pauschal, sondern bezog sich
nur hier auf die Diskussion.

 

[Master.Pug]

Als 2. Betreibsystem sind zu empfehlen Ubuntu/Xubuntu; ...

hat mir übrigens das Leben gerettet, mein Windoof war ziemlich lahmgelegt ^^

 

[Aki-Akw]

Leute, sorry, wenn ich da auch noch mal dazwischenfunke, aber die Vorstellungen vom Kostenfaktor eines Linux-Systems, die hier vorgerechnet werden, stoßen mir zu sauer auf, als das man das einfach überlesen könnte.

Eine Live-CD ist sicherlich das Optimum, wenn man ein sauberes Startmedium braucht.

Als Produktivsystem ist das unpraktisch, soweit stimme ich euch zu - obwohl sich mit etwas Knoffhoff auch ein Livesystem als Produktivsystem basteln lässt. Seis drum.

Eine Installation - auch als 2. OS - kostet ausser etwas Zeit und dem Willen, sich damit zu beschäftigen, genau NULL.

Linux ist geradezu prädestiniert für Alles, was schnell, effektiv und sicher (!) erledigt werden muß.
Und gerade alles, was mit der Entwicklung und Pflege von Internetanwendungen zu hat, gleichzeitiges Arbeiten vieler User an einer Anwendung - hallo - das ist Linux own country.

Es gibt einen Grund, warum Linux und seine Derivate auf Produktiv- und Entwicklungssystemen absolute Nummer Eins sind. Ratet mal, warum.

Wenn ihr große Datenbanken zu pflegen und off-Web zu testen habt, kostet euch das allenfalls eine größere Festplatte. Die muss sich nicht einmal jeder Anwender zuhause einbauen, sowas kann man auf nem Server einrichten und das Arbeiten auf die Weise dauert nur so viel länger, wie eure Internetverbindung lahm ist. Der Sicherheitsgewinn wiegt die 10 Sekunden Verzögerung doch locker auf.

Alle benötigten Programme sind in wirklich großer Zahl auf jeder Linux CD schon kostenlos an Bord bzw. lassen sich kostenlos aus dem Web nachladen.

Also, man kann vllt. jede andere Ausrede akzeptieren, aber der Kostenfaktor gehört da definitiv nicht dazu.

Solange man also den Willen hat, auch mal über den Windoof Tellerrand zu schauen, steht der Umsetzung nichts entgegen.


/Nachtrag:

Gibt es irgendeinen bestimmten Grund, warum man sich zweimal anmelden muß (Cookies sind erlaubt) ?
Nach dem ersten Einloggen und der Auswahl dieses Threads hat euer Forum die Anmeldung schon wieder vergessen. Sowas würde mir Sorgen machen.


/edit @Destitute

Sorry, aber hier "schwärmt" niemand davon, wie geil alles ausser Windows ist. Wenn, dann ist das höchstens eine Situationsbeschreibung.

Das Thema hat aber sehr wohl was mit dem Grundgedanken dieses Threads zu tun, weil es als Anregung an euch gerichtet ist, wie ihr zukünftige Probleme vermindern könnt.

Was könnte also mehr Ontopic sein, als Wege aufzuzeigen, solche Probleme, wie das aktuelle hier, zukünftig zu verhindern oder zumindest erheblich zu erschweren?
Die nächste Attacke auf das Forum basiert vllt nicht auf irgendeinem abgefischten Passwort, sondern auf der Ausnutzung einer Windowslücke, die eventuell schon seit Jahren bekannt ist.

Wie und ob ihr diese Hinweise berücksichtigt oder umsetzt, ist natürlich ganz allein eure Sache.

So etwas aber als "Geschwafel" abzutun, beruhigt vielleicht das Gewissen, für mehr Sicherheit sorgt das aber ganz gewiss nicht.

 

[Destitute]

Ok... letzte Warnung... ich hab hier langsam echt keine Lust mehr mir das Geschwafel von Linux/Mac/Windows/Sonstwas Usern anzuhören, wie geil doch ihr System ist und warum ihr System das Optimum ist.
Jeder, der hier nichts mehr zum Thema Virenbeseitung und/oder Hilfestellung für betroffene User zu sagen hat und dennoch meint einen Post ablassen zu müssen darf sich glücklich schätzen derjenige zu sein, der diesen Thread ein Schloss gebracht hat, Usern mögliche Hilfe vorenthalten hat und mich zur entgültigen Weißglut gebracht hat.

Es werden Lehren aus dem Vorfall gezogen und es werden entsprechende Maßnahmen unternommen, doch nichts davon ist euer Business.

Ich hoffe wir haben uns in den Punkten dann nun endlich verstanden und wir können zum eigentlichen Grundgedanken dieses Threads zurückkehren.

Destitute

 

[bigAl2]

ein zitat aus der aktuellen c´t, der den avira befall erklärt:

"... im Falle von Avira nur die Signaturen für die kostenlose "Personal Edition" herunterladen, denen die Spyware Erkennung fehlt."

heisst:
avira winkt den trojaner durch und erkennt das erst die folgen davon, wenn es schon zu spät ist.
da kann man auch gleich KEINEN virenscanner verwenden :/

 

[Kobra331]

das stimmt so nicht ganz.
Bei mir hat antivir den trojaner durchgelassen aber nach einem full scan einen agent S. gefunden und gelöscht. Seitdem hab ich alle Bekannten dateien manuell gesucht und nichts gefunden. Also würde ich sagen antivir kann ihn auch eher erkennen.

 

[bigAl2]

oder das rootkit ist schon funktionsfähig am laufen

 

[Lanx]

Grundsätzlich sind kostenlose Virenscanner mit Vorsicht zu genießen. Gerade in Bezug auf Erkennung und Aktualität hängen sie häufig den kommerziellen Programmen hinterher. Wenn schon ein Virenscanner, dann sollte man sich einen kaufen (die meisten bieten günstige Schüler/Studentenvarianten) und ggf. ein Abo auf die Virensignaturen abschließen (1 Jahr ist beim Kauf kostenlos dabei). Die üblichen Verdächtigen sind F-Secure, Kaspersky, McAffee, Sophos, etc. - möglichst nicht Norton.

 

[adsche]

Bei mir hat Avira den eigentlichen Trojaner auch erst durchgelassen, und erst eine nachgeladene .dll gemeldet.
Auch "search and destroy" und adaware haben beim scann (gleich danach) nichts gefunden. Nach der ersten Meldung hab ich den befallenen Rechner gleich neu aufgesetzt.

Ich sitz hinter einer Router Firewall, und werd auch weiterhin auf die oben genannte Softwarekombi setzen, da ich der meinung bin das man sich auch mit der "besten bezahl Software" nicht vor solchen Angriffen schützen kann.(Oder im endeffekt doch Formatieren muss)

Mfg adsche

 

[bigAl2]

du verwendest lieber avira, der offensichtlich so etwas nicht verhindern kann, da ihm das erkennungsmodul fehlt, als etwas anderes was die infektion hätte verhindern können?
deine freude am system neu aufetzen hätte ich gern

nachdem ich sie jetzt in den händen halte:
c´t 02/10 enthält die vollversion von NOD32 mit einem jahr update inklusive!

p.s.: die desinfec´t ist ein wenig gewöhnungsbedürftig.
da passiert vieles ohne jegliche rückmeldung.

 

[Sprengkobold]

du verwendest lieber avira, der offensichtlich so etwas nicht verhindern kann, da ihm das erkennungsmodul fehlt, als etwas anderes was die infektion hätte verhindern können?
deine freude am system neu aufetzen hätte ich gern

nachdem ich sie jetzt in den händen halte:
c´t 02/10 enthält die vollversion von NOD32 mit einem jahr update inklusive!

Laut http://www.free-av.de/de/products/1/avira_antivir_personal__free_antivirus.html hat das kostenlose auch das Spyware Modul - was es nicht hat ist der Webguard.
Was beide haben ist das normale Viren/Trojaner und das Rootkik Modul.
Das nen Virus durchrutscht kann bei jedem Virenscanner passieren - es gibt keine mit 100% Quote. Avira Antivir gehört laut ct zu den besseren Scannern.

Ansonsten was Lanx gesagt hat, der kostenlose Antivir ist je bekannt für seine lahmen Updates.