Malware beim EF bzw. IG S-Bahn?

Cloakmaster · Beitrag von **Cloakmaster** » 15 Jun 2013, 08:01

Ich habe beim Lesen im Forum gerade eine Warnun gerhalten:

Achtung: Malware!
Google Chrome hat Zugriff auf diese Seite auf www.eisenbahnforum.de blockiert.
Auf dieser Webseite wurden Inhalte von www.igsbahn-muenchen.de eingefügt, einem bekannten Verbreiter von Malware. Beim Besuch dieser Seite besteht jetzt die Gefahr, dass Sie Ihren Computer mit Malware infizieren.
Malware ist Schadsoftware, die unter anderem zu Identitätsdiebstahl, finanziellen Verlusten und zum dauerhaften Löschen von Dateien führen kann.

soll ich mir ja jetzt einen Reim drauf machen?

GSIISp64b · Beitrag von **GSIISp64b** » 15 Jun 2013, 08:19

Deutet idR darauf hin, dass eine an sich vertrauenswürdige Seite gehackt wurde. Ist z. B. dem Bildblog neulich passiert, kommt also in den besten Familien vor.

TramPolin · Beitrag von **TramPolin** » 15 Jun 2013, 08:22

Das Eisenbahnforum ist nicht bei Google als Malware gelistet, wohl aber http:// www.igsbahn-muenchen.de/. Im Eisenbahnforum gibt es im Portal einen Banner-Link auf http:// www.igsbahn-muenchen.de, das scheinen mir die einzigen eingefügten "Inhalte" zu sein. Bis zur Klärung würde ich sicherheitshalber nicht auf diesen Banner klicken (bzw. die Warnung, die dann kommt, keinesfalls ignorieren).

Jean · Beitrag von **Jean** » 15 Jun 2013, 09:04

Mein Iron hat es auch blockiert, beim zweiten Mal aber frei gegeben...

Iarn · Beitrag von **Iarn** » 15 Jun 2013, 09:25

Die igs-bahn Webseite ist technisch gesehen relativ veraltet und wird wohl nicht regelmäßig gepflegt. Wahrscheinlich hat es jemand dort geschafft Code zu injezieren.

Ich würde den Admins raten, bis das geklärt ist, das Banner zu entfernen, sonst kommt das Forum noch als ganzes auf die schwarze Liste und das wäre schade.

lsp · Beitrag von **lsp** » 15 Jun 2013, 10:42

Vielen Dank für den Hinweis! Der Banner wurder vorübergehend entfernt.

ropix · Beitrag von **ropix** » 15 Jun 2013, 10:57

lsp @ 15 Jun 2013, 10:42 hat geschrieben: Vielen Dank für den Hinweis! Der Banner wurder vorübergehend entfernt.

ÄHM - lsp, dir ist hoffentlich schon klar dass das keinesfalls zur Fehlerbehebung beitragen kann?

Zum Thema technisch veraltet - gegen einen solchen "Virenbefall" gilt - je älter desto besser. Wäre es nur die statische Webseite gewesen und keine so neumodischen Gimmiks wär auch nix passiert...

Jedenfalls sollte die IGS-Seite jetzt fürs erste keine Viren mehr verteilen. Danke auch an alle die sofort Alarm geschlagen haben und der IGS vielleicht eine Mail hätten zukommen lassen.

Iarn · Beitrag von **Iarn** » 15 Jun 2013, 11:09

ropix @ 15 Jun 2013, 10:57 hat geschrieben: Zum Thema technisch veraltet - gegen einen solchen "Virenbefall" gilt - je älter desto besser. Wäre es nur die statische Webseite gewesen und keine so neumodischen Gimmiks wär auch nix passiert...

Du vermengst zwei Dinge alt vs. neu und statisch vs. dynamisch:
Solange Du bei rein statischen Webseiten bleibst, hast Du recht, da kann nicht viel passieren.
Aber sobald man anfängt mit dynamischen Inhalten muss man sich im klaren sein, dass man immer updaten muss, um zu verhindern, dass man bekannte Sicherheitslücken hat, die von irgendeinem Scriptkiddie ausgenutzt werden. Natürlich hat man dann auch keine absolute Sicherheit aber falls jemand mal einen zero day exploit hat dann versucht der sich an was wichtigerem als an der igs oder verkauft den Exploit gleich an die NSA und Co.

Beitrag von **Boris Merath** » 15 Jun 2013, 14:00

Erstmal kurzer Zwischenstand (sind noch beim analysieren):
1) Das Eisenbahnforum ist nicht betroffen, wer nur das Eisenbahnforum besucht hat braucht nichts zu befürchten.
2) Die IGS-Homepage ist tatsächlich betroffen. Es handelt sich dabei offenbar um dieses Ding hier:
http://www.microsoft.com/security/portal/t...3AJS%2FColkit.A
Nach momentanem Stand wurde dabei Code eingeschleust, der entsprechend auf eine Seite umgeleitet hat, die PCs auf denen veraltete Versionen von Software (Java, Adobe Reader, Adobe Flash) installiert sind infizieren kann. Anzeichen auf weitere Schäden gibt es bisher noch nicht, die Analyse läuft aber noch. Ich halte es aber momentan für eher unwahrscheinlich dass sich da noch etwas findet.
Da der Angriffsweg über einen klar definierten Kanal erfolgte der alles geloggt hat, und der Angreifer außerdem kein Administrator-Zugang zum Server hatte, lässt sich zum Glück relativ gut nachvollziehen, was passiert ist. Es bleibt trotzdem eine aufwendige Arbeit.

Die IGS-Homepage sollte wieder sauber sein, was auch diverse Webseitendiagnostikseiten bestätigt haben. Die Überprüfung durch Google ist beauftragt, läuft aber noch, so dass die Warnseite wahrscheinlich noch einige Zeit angezeigt werden dürfte. Laut google kann die Überprüfung bis zu 24 Stunden dauern.
3) Die Ursache muss noch abschließend geklärt werden, nach aktuellem Stand liegt diese aber weder beim Server noch bei der darauf installierten Software.