+ Antworten
Ergebnis 1 bis 3 von 3

Groß angelegter Angriff auf Web-Anwender im Gange

Eine Diskussion über Groß angelegter Angriff auf Web-Anwender im Gange im Forum Technik Ecke. Teil des Off Topic-Bereichs; Mehrere Hersteller von Sicherheitssoftware warnen derzeit vor einer breit angelegten Attacke auf Web-Anwender. So will etwa Websense mehr als 10.000 ...

  1. #1
    Oberstleutnant
    Avatar von Touji
    Registriert seit
    22.10.2002
    Alter
    35
    Beiträge
    11.542
    Name
    Fabian

    Groß angelegter Angriff auf Web-Anwender im Gange

    Mehrere Hersteller von Sicherheitssoftware warnen derzeit vor einer breit angelegten Attacke auf Web-Anwender. So will etwa Websense mehr als 10.000 europäische, vornehmlich italienische Webserver entdeckt haben, die versuchen, Besucher mit Trojanern zu infizieren. In der Regel soll es sich dabei um harmlose Server für Touristik, Hotels, Auto und Kino handeln, die gehackt und deren Seiten mit einem zusätzlichen IFrame ausgestattet wurden – dazu genügt eine Zeile Code, die ein Web-Admin nicht so ohne Weiteres entdeckt.

    Der IFrame lädt Code von einem weiteren Server nach, auf dem das Web-Exploit-Toolkit MPACK zum Einsatz kommt. Das soll in der Lage sein, das Betriebssystem und den verwendeten Browser des PC des Opfers zu erkennen und dafür explizit zugeschnittene Exploits auszuprobieren. So ist das Toolkit nicht nur fähig, ungepatchte Lücken im Internet Explorer auszunutzen, sondern auch solche in Firefox und Opera. Auch Lücken in QuickTime nutzt es aus. Allerdings scheint MPACK nur auf bekannte Lücken zu setzen, für die es längst Updates der Hersteller gibt.

    Glaubt man der integrierten Statistik von MPACK, sollen bereits mehr als hunderttausend Anwender die infizierte Seite nachgeladen haben, mehr als zehntausend ihre PCs mit einem Schädling infiziert haben. Dieser soll Bankdaten ausspähen und Tastatureingaben mitlesen. Eine genaue Analyse von MPACK hält Panda Software auf seinen Seiten bereit: MPACK uncovered. Der Antiviren-Hersteller Avira rät Anwendern, den Zugriff auf den MPACK-Server mit der IP-Adresse 64.38.33.13 zu blockieren.

    Update
    Ein im Blog von Trend Micro veröffentlichter Screenshot verdeutlicht, wie ein IFRAME aussehen kann, der auf einen MPACK-Server zeigt. Anwender sollten ihre Seiten gegebenenfalls auf ähnliche Einträge hin untersuchen und diese entfernen. Zudem ist die Manipulation ein Hinweis darauf, dass es im System eine Sicherheitslücke gibt, über die ein Angreifer jederzeit wieder eindringen kann. Dazu sind weitere Analysen notwendig.
    http://www.heise.de/newsticker/meldung/91345

    Wer eine lange nicht mehr aktualisierte Browserversion verwendet, für den ist es vielleicht jetzt ein guter Zeitpunkt zu aktualisieren. (Neuere Firefoxversionen machen das unter Windows AFAIK automatisch. Ansonsten kann man auch unter "Hilfe" -> "Firefox aktualisieren" nach Updates suchen.)

    Wer Proxomitron als Werbefilter für seinen Browser benutzt, kann den Zugriff auf die IP-Adresse 64.38.33.13 auch blockieren, indem er den Eintrag

    [#64].[#38].[#33].[#13]

    seiner Adhosts-Datei hinzufügt und anschließend die Blocklisten neu läd. Wie das Schritt für Schritt geht versuche ich mal mit ein paar Screenshots zu erklären:

    Schritt 1


    Schritt 2


    Schritt 3


    Schritt 4

    Schritt 5: Fertig
    Wer sich nicht ganz sicher ist, lässt Schritt 5 besser aus.


    Wichtig:
    Das funktioniert nur, wenn der Browser vorher so konfiguriert wurde, dass er Proxomitron auch verwendet. Andernfalls wird die Seite, die eigentlich geblockt werden sollte, doch aufgerufen und man fängt sich als Windowsnutzer u. U. einen Schädling ein. Wie man Proxomitron installiert und den Browser einrichtet steht hier.

  2. #2
    Mainforum-Moderator
    Avatar von kilinator
    Registriert seit
    28.07.2001
    Beiträge
    15.238
    Clans
    TMF, CMB, MOON, RAP
    Schritt 2 kann man übergehen indem man beim rechtsklick auf das icon einfach auf "blockliste bearbeiten" geht und dann die AdHosts datei auswählt.

  3. #3
    Stabsunteroffizier
    Avatar von Sven
    Registriert seit
    15.09.2001
    Ort
    Jüchen
    Alter
    49
    Beiträge
    848
    Nick
    xysvenxy
    Clans
    CnCBoa
    Für Leute mit Websites:
    http://blog.trendmicro.com/another-m...n-italian-job/

    So sieht es beispielsweise aus wenn euer Server 'verseucht' ist.
    ciao
    Sven

+ Antworten

Ähnliche Themen

  1. Angriff auf Iran
    Von Masher im Forum OFF-Topic
    Antworten: 88
    Letzter Beitrag: 09.11.2005, 22:42
  2. Angriff auf KGS 3:169:13
    Von Snape im Forum SuNriser Allgemein
    Antworten: 0
    Letzter Beitrag: 16.12.2002, 16:15
  3. Angriff auf -CCCP-
    Von Demborix im Forum GCC
    Antworten: 8
    Letzter Beitrag: 28.02.2002, 14:16
  4. Angriff Auf Mich :-(
    Von blackcool im Forum *GAHQ*
    Antworten: 9
    Letzter Beitrag: 26.10.2001, 21:37
  5. angriff auf cyba!!!!
    Von blackcool im Forum *GAHQ*
    Antworten: 20
    Letzter Beitrag: 22.10.2001, 21:18

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •