# Malware auf buffed



## thrasea (28. April 2011)

Chrome warnt schon vor Betreten dieser Seite. Mit einem guten Virenscanner im Hintergrund habe ich mich trotzdem getraut.

Hier das Ergebnis:



```
Virus beim Laden von Web-Inhalten gefunden.

Adresse: http://google-anaiytics.com/ga.js
Status: Der Zugriff wurde verweigert.
```


Könnt ihr das bitte mal prüfen?


----------



## Tikume (28. April 2011)

Chrome warnt also vor Google 
Was soll uns der Thread nun sagen?

Und dann auch noch gleich mehrfach: http://forum.buffed.de/index.php/topic/184441-malware-auf-buffed/page__view__getnewpost__fromsearch__1


----------



## thrasea (28. April 2011)

Das mehrfach tut mir leid - hab eins auch gleich zum Schließen gemeldet. Beim Absenden kam eine Fehlermeldung, da hab ich halt nochmal draufgedrückt.

Nein, es ist eben NICHT Google Analytics. Der feine, aber kleine Unterschied besteht in einem i statt l. Soll aber für jeden so aussehen, als ob man es eh schon kennen würde.

Wo kommt das also her? Wurde buffed gehackt? Wird das über irgendeine Werbung geladen (denk ich ja eher). Auf jeden Fall sollte man dem auf den Grund gehen.


----------



## Käpt’n Blaubär (28. April 2011)

Die Meldung bekomme ich auch sehr oft. Liegt wohl daran das Buffed mit Werbungen verseucht ist.


----------



## Stanglnator (28. April 2011)

Wir sind schon dran.


----------



## Bergerdos (28. April 2011)

Käpt schrieb:


> Die Meldung bekomme ich auch sehr oft. Liegt wohl daran das Buffed mit Werbungen verseucht ist.




Bisher hatte ich bei Buffed keine solche Meldung, heute das erste mal, und sehr oft kann das bei mir auch nicht passieren. 
Ich bin hier in meinem Büro, und wenn der Rechner hier verseucht ist kann mich das eine Menge Geld kosten - also werde ich mit Sicherheit nicht auf so eine Seite gehen.
Und wenn ich morgen nochmal nachsehe und die Meldung ist immer noch da dann fliegt der Link aus meiner Leiste raus - kann also nicht oft passieren.

Das Buffed-Team sollte sich schnellstens darum kümmern, für die ist es nämlich auch bares Geld.


----------



## ichbinnichtschuld (28. April 2011)

deswegen immer noscript als addon drauf haben, das unterbindet das schon, bevor es aufm rechner ist,
was du auf nem firmenrechner sowieso haben solltest

jup da ist der wurm drin:



			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Stanglnator (28. April 2011)

Der Fehler ist behoben, danke an alle, die ihn gemeldet haben


----------



## Firun (28. April 2011)

Stanglnator schrieb:


> Der Fehler ist behoben, danke an alle, die ihn gemeldet haben



Sollte man als User mal ein Viren Programm laufen lassen?
Was war denn der genaue Fehler denn die Meldung habe ich vorhin ignoriert, ist jetzt irgendwas auf meinem Rechner das dort nicht sein soll ?


----------



## ichbinnichtschuld (28. April 2011)

ich hätte das script gerne mal in einer vm runtergeladen, kommt aber nur noch 404, also ka ob da überhaupt ne gefahr bestand

lol okay, das ist kein reines buffed problem, mmo-c war auch befallen. china hacker vs wow seiten...
http://www.google.de/search?q=google-anaiytics.com


----------



## Petersburg (28. April 2011)

Firun schrieb:


> Sollte man als User mal ein Viren Programm laufen lassen?



Zur Sicherheit sollte man das lieber tun. 
Also zumindest leuten ohne Adblock&NoScript würde ich es empfehlen. *In b4 Admin löscht den Thread*


----------



## ZAM (28. April 2011)

Es gab in besagtem Blog tatsächlich den Versuch von Code-Injection durch Dritte. Wir konnten recht schnell ermitteln, wie das passiert ist und können Euch versichern, dass es nur(!) den verlinkten Blog, der mittlerweile sauber ist, betraf und ohne aktives oder bewusstes Zutun des Blog-Besitzers.

Auslöser war höchstwahrscheinlich eine andere, infizierte Seite und das Zusammenkommen von zwei Zufällen, die Benamung des Topic-Feldes und mangelhaft geprüfte Inhalte vor dem Speichern des entsprechenden Topic-Feldes. Gruppen-Blogs, die hier verwendet werden, griffen auf eine ältere Version des mybuffed-Codes zurück, der leider Blog-Topics ungenügend geprüft hat. Wir haben zudem alle bisherigen Blog-Einträge geprüft und keine weiteren Einträge dieser Art ausfindig gemacht.

Die Sicherheitsmängel in dem Blog-Script sind mittlerweile behoben, so dass diese unerwünschten Eingaben nicht mehr vorkommen können.

Da es sich um eine recht alte Injection-Variante handelte, kann dass, was im Topic des Blogs eingefügt und von Chrome gemeldet wurde Auswirkungen für Besitzer älter(!), nicht gepatchter Webbrowser mit ungenügenden Sicherheitseinstellungen (bspw. IE6, FF2) haben. Hier ist auf jeden Fall ein Virenscan empfehlenswert. Besitzer aktueller Webbrowser, bestärkt durch aktivierte und gepatchte Virenscanner sind relativ sicher und nicht betroffen.


----------



## Spyme (29. April 2011)

Avast schreit noch immer, und zwar eine SWF von besagter GA URL. Mit Timestamp 29.04.2011 03:43, da hier nichts mehr im Cache war und ich anstelle von Chrome, mit Opera 11.10 hier bin, habt Ihr wohl nicht alles gefunden / behoben.


----------



## Stanglnator (29. April 2011)

Wird bereits geprüft, wobei ich nichts finden konnte, bin aber auch kein Programmierer


----------



## Foobarus (29. April 2011)

Spyme schrieb:


> Avast schreit noch immer, und zwar eine SWF von besagter GA URL. Mit Timestamp 29.04.2011 03:43, da hier nichts mehr im Cache war und ich anstelle von Chrome, mit Opera 11.10 hier bin, habt Ihr wohl nicht alles gefunden / behoben.



Wir können derzeit nichts finden, kannst Du uns bitte die (buffed.de-)URL nennen, unter der der Fehler bei Dir aufgetreten ist?

Viele Grüße

  Markus


----------



## ZAM (29. April 2011)

Wir haben die Seite den ganzen Tag über sehr genau geprüft. *Sollte *die Meldung in Chrome noch einmal auftauchen, bitten Wir Euch die aktuelle URL, auf der es auftritt sofort unter der folgenden Adresse im dafür vorgesehenen Formular-Feld einzutragen:

http://my.buffed.de/fileadmin/wtf.php

Dann können wir eventuelle Quellen genauer ermitteln, da wir die Meldung selbst bisher nicht erhielten oder nachvollziehen können. Der Eintrag muss sofort nach Erhalt der Meldung erfolgen, sonst können wir die Ursache nicht ermitteln.

Vielen Dank schon mal für Eure Unterstützung.


----------



## Spyme (29. April 2011)

Avast hat die besagte gefakte Google Analytics URI angekreidet, nur nicht mit Verweis auf die ga.js, sondern "2.swf" beim aufrufen der Startseite www.buffed.de


----------

