# HILFE: Buffed.de= Bedrohung (IE CDATA Exploit)



## Mik1 (24. Mai 2009)

*HILFE!!! ich weiß nicht was ich tuhen soll:*
Immer wenn ich mit Firefox oder IE7 *>wow.buffed.de< *öffnen will (und auch nur da, auf z.b. Google.de oder youtube ist nichts!) kommt:




			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        



Was soll ich machen?

Diese meldung ist heute (24. Mai 2009) zum ersten mal aufgetreten und ich habe auch bei Google keine Lösung gefunden

Ich benutze Als Antivirensoftware: AVG Anti-Virus-Free
Und als Firewall: Zone Alarm

*Angst*


----------



## pvenohr (24. Mai 2009)

Beim Öffnen der Hauptseite wird mir seit heute jedesmal die folgende Meldung von AVG angezeigt. Ich glaube es handelt es sich zwar nur um einen Cookie aber ich wollte Buffed-Nutzer und Admins mal vorsichtshalber darauf hinweisen.

[attachment=7716:buffedwarnung.jpg]


----------



## vekol (24. Mai 2009)

Ignorieren, vor einiger Zeit ist googles Sicherheitscheck mal komplett durchgedreht und hat jede Seite in den Suchergebnissen als potentielle Bedrohung angezeigt.


----------



## Xemness (24. Mai 2009)

Moin. 

Das ist ganz klar ein Fehler in den Files von AVG - ich nutze Kaspersky, der recht zuverlässig ist, und bei mir schreit er ned =) 

Also, keine Sorge, einfach ignorieren, ich schätze das wird beim nächsten Update behoben sein.


----------



## FroggyStyle (24. Mai 2009)

Hatte das selbe Problem...

hab firefox gelöscht  und neu gezogen, jetzt gehts wieder einwandfrei  


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Maladin (24. Mai 2009)

Danke für die Meldung. Der Support ist an der Sache dran und ich bin sicher Zam opfert schon sein Wochenende dafür 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        



Seid bitte vorsichtig und schützt euch vor möglichen Bedrohungen. Haltet eure Systeme aktuell. 

/wink maladin


----------



## Pente (24. Mai 2009)

Vielen Dank für die Meldung. Wir versuchen das Problem schnellstmöglich zu beheben. Da bereits mehrere Threads hierzu offen sind (unter anderem dieser: http://www.buffed.de/forum/index.php?showtopic=105423) mach ich hier mal zu.


----------



## Aeonflu-X (24. Mai 2009)

Hat das was mit dem Japanischen Dreck zu tun?Go Zam!


----------



## Mik1 (24. Mai 2009)

OK vielen dank.. hatte schon ne heiden angst gehabt aber ok .. geduld haben und tee trinken ^^


----------



## Pente (24. Mai 2009)

*An die IE User: bitte installiert unter keinen Umständen das "Remote Data Services Data Control" AddOn!*


----------



## Mik1 (24. Mai 2009)

Pente schrieb:


> *An die IE User: bitte installiert unter keinen Umständen das "Remote Data Services Data Control" AddOn!*




ah ok danke.. IE hatte mich auch schon gefragt.. aber ich ahbe abgewiese..^^ 
zum glück


----------



## Isilrond (27. Mai 2009)

Eben die Seite buffed.de geöffnet da meldet sich mein Kaspersky!!

27.05.2009 07:08:59	http://google-analytae.com/14a.htm//14a	Firefox	Verboten: HEUR:Trojan-Downloader.Script.Generic


----------



## kaepteniglo (27. Mai 2009)

gut zu wissen.

im IE8 bei mir zum glück nicht reproduzierbar.

Hast du evtl. einen Screenshot, damit man sehen kann, von welcher Werbung das evtl. kommt?


----------



## ZAM (27. Mai 2009)

kaepteniglo schrieb:


> Hast du evtl. einen Screenshot, damit man sehen kann, von welcher Werbung das evtl. kommt?



Das ist das Problem - das weiß man nicht genau. 

Die Prüfung bei unserem Werbepartner-Service läuft bereits - die Vermutung ist, dass es im Leaderboard hängt, also der obere Banner, der auch im Forum etc. ist. Das ist das einzige Element, das seitenübergreifend, also überall zu finden ist. Jedoch ist es nicht bestätigt und durch uns auch nicht reproduzierbar. :-\  Recherchen haben bisher auch nichts ergeben, der Scan auf unseren Code und Datenbank hat zumindest gezeigt, dass der Exploit-Code in dieser Richtung nicht direkt eingebunden oder eingepflegt ist. Wir sind aber auf jedern Fall weiterhin an der Sache dran.


----------



## kaepteniglo (3. Juni 2009)

zu dem Thema gibt es eine interessante news auf heise.de

http://www.heise.de/newsticker/Zehntausend.../meldung/139780



> Der Sicherheitsdienstleister Websense hat nach eigenen Angaben Massenhacks von Webseiten beobachtet, bei denen Kriminelle eigene JavaScripte in die Seiten eingebettet haben. Besucher der Seiten werden laut Bericht auf eine Domain umgeleitet, die einen ähnlich klingenden Namen wie google-analytics.com hat. Dort versucht ein Server mit mehreren Exploits für den Internet Explorer, Firefox und QuickTime den PC des Besuchers zu infizieren. Der Server soll in der Ukraine beheimatet sein. Laut Websense ist die Erkennungsquote für den beobachteten Schädling noch relativ gering. Bislang sollen mehrere zehntausend legitime Webseiten manipuliert worden sein


----------



## ANubiZzz (4. Juni 2009)

http://imagehorst.de/viewer.php?id=107

diese meldung habe ich beim aufrufen des links bekommen.

http://www.buffed.de/forum/index.php?showtopic=106723


----------



## kaepteniglo (4. Juni 2009)

kaepteniglo schrieb:


> zu dem Thema gibt es eine interessante news auf heise.de
> 
> http://www.heise.de/newsticker/Zehntausend.../meldung/139780



Passt bestimmt zu dem Thema (habe ich in dem anderem Thread schon gepostet)


----------



## ZAM (4. Juni 2009)

kaepteniglo schrieb:


> Passt bestimmt zu dem Thema (habe ich in dem anderem Thread schon gepostet)



Nein passts nicht - aber ich habe die Sachen trotzdem mal für meine Übersicht zusammen geschoben.

ANubiZzz Beta-Datamining-Browser *g* hat eine Seite erkannt, auf die einer der User in dem von ihm aufgerufenen Thread seinen Avatar verlinkt hat. Wahrscheinlich war diese mal gefährdet oder ist es immer noch. Ich habe den entsprechenden Avatar gelöscht und die Seite unserem URL-Filter hinzugefügt.


----------



## ANubiZzz (4. Juni 2009)

ZAM schrieb:


> Nein passts nicht - aber ich habe die Sachen trotzdem mal für meine Übersicht zusammen geschoben.
> 
> ANubiZzz Beta-Datamining-Browser *g* hat eine Seite erkannt, auf die einer der User in dem von ihm aufgerufenen Thread seinen Avatar verlinkt hat. Wahrscheinlich war diese mal gefährdet oder ist es immer noch. Ich habe den entsprechenden Avatar gelöscht und die Seite unserem URL-Filter hinzugefügt.




oder auch Chrome genannt  xD 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 

Danke für die Info´s Zam.


----------



## ZAM (8. Juni 2009)

SOLLTE das Problem nochmal auftauchen, wäre es nett, wenn mir einer der betroffenen per Email an zam@buffed.de mitteilen könnte, welcher Werbebanner zu dem Zeitpunkt grad im oberen Bereich der Seite zu sehen ist UND den vollständigen HTML-Quellcode der betroffenen Seite zukommen lassen könnte.


----------



## Natsumee (9. Juni 2009)

Die Website unter www.buffed.de enthält Elemente von der Website google-analytae.com, die anscheinend Malware hostet - Software, die den Computer beschädigen oder anderweitig ohne Ihre Zustimmung agieren kann. Schon der Zugriff auf eine Website, die Malware enthält, kann den Computer infizieren.
Detaillierte Informationen zu den Problemen mit diesen Elementen erhalten Sie auf der folgenden Google-Seite: SafeBrowsing Diagnoseseite für google-analytae.com.
Weitere Informationen zum Selbstschutz vor schädlicher Software im Internet.


heute wieder das ding gehabt schicke dir gleich den screen mit der werbung

http://i41.tinypic.com/33yqmxd.jpg


sehe grad das die meldung heute immer kommt auch mit anderer werbung -.-"


----------



## ZAM (9. Juni 2009)

Mh - anscheinend betrifft das nur Chrome-Nutzer. Möglicherweise gab es in einem der Banner entsprechende Infektionen und google reitet jetzt schön auf dem Cache rum. Klasse Browser.


----------



## Grushdak (9. Juni 2009)

Habe gerade dazu Folgendes gefunden.
(Weiter unten steht auch, wovon das mit google.analytae und go00gle.net ausgeht)

Eventuell hilft das ja etwas. 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        



-> *Thousands of Web Sites Stung by Mass Hacking Attack*

Jedenfalls ist das Ding anscheinend nicht ganz Ohne.

*edit:*

Upps .... war so auf englisch fixiert, daß ich die Übersetzung, die hier gepostet wurde gar nicht gelesen habe ...
Sry 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        



Naja, bei Firefox habe ich Noscript und AdBlockplus standartmäßig aktiviert, sodaß ich auch nix sehe, vom banner -
und auch ein Script nicht starten kann - ohne Erlaubnis.

greetz


----------



## kaepteniglo (9. Juni 2009)

durch kaspersky wurde bei mir z.B. der banner ausgeblendet (ich weiß, nicht schön für euch wenn keine Werbung da ist, aber dafür auch keine Meldung 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 )

@Grush, habe ich ja schon 2x gepostet den deutschen Artikel bei heise und zam kennt das problem mittlerweile zu genüge.

naja, google und chrome, ich sag zu dem browser besser nix............


----------



## Grushdak (9. Juni 2009)

Hatte eben mal NoScript und AdBlockPlus bei Firefox deaktiviert.
Wollte mich mal im Vorstellungstopic umsehen, als Folgendes kam:



			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        


Das Mad dingens hat was mit Metal & Punk Music zu tun.
Und dieses Eingabefenster erscheint beim Laden von Daten von Imageshack us - welchem ich eh nicht mehr so ganz traue.

greetz


----------



## ZAM (9. Juni 2009)

Grushdak schrieb:


> Das Mad dingens hat was mit Metal & Punk Music zu tun.



Nein hats nicht. Einer der User hatte ein Bild in der Signatur verlinkt, was auf dem entsprechenden Server durch HTACCESS geschützt wird. Ich habe die Signatur entfernt.


----------



## Grushdak (9. Juni 2009)

ZAM schrieb:


> Nein hats nicht. Einer der User hatte ein Bild in der Signatur verlinkt, was auf dem entsprechenden Server durch HTACCESS geschützt wird. Ich habe die Signatur entfernt.



Hat es nicht?
Wieso ist das die Seite, bei der das Einloggen gefordert wurde? 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        



-> *mad-tourbooking*

Zumindest stammte das Bild anscheinend von dort.


----------



## ZAM (9. Juni 2009)

Grushdak schrieb:


> Hat es nicht?
> Wieso ist das die Seite, bei der das Einloggen gefordert wurde?
> 
> 
> Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.



Hab ich erklärt.

http://de.wikipedia.org/wiki/Htaccess


----------

