AktuellesAllgemeinesPartnerfirmenJobsDownloadLinksTermineBilderKontakt
 
< Exzellente Jobaussichten in der Informatik
24.08.2013 12:08 Alter: 5 yrs

Blackhole-Vireninfektion des ABSEDV-Servers - bitte Systeme auf Viren scannen


Zum Schutz Ihrer Systeme möchten wir Sie darüber informieren, dass trotz aktueller Serversoftware eine Blackhole-Infektion (bzw. von einigen Produkten Blacole genannt) des ABSEDV-Servers stattgefunden hat (geschätzter Infektionszeitpunkt 22. 08. 2013 Nachmittag).

 

Update 25. 08. 2013: In den infizierten Dateien wurde verschleierter Javascript-Code gefunden, der auf eine PHP-Datei auf dem Server dbtbqbodip.jogp verlinkte (jeder Buchstabe zu Ihrem Schutz um 1 erhöht, damit nicht versehentlich ein Link daraus wird, nach dem . steht eine bekannte Top-Level-Domain). Falls Sie einen Proxy verwenden, können Sie mit dieser Information im Logfile nachsehen, ob Sie sich eventuell Schadcode eingefangen haben könnten.

 

Leider erkennen viele Antivirenprogramme die infizierten Dateien auf dem Server nicht (nur 5 von 49 Virenscannern erkannten zumindest einige Javascript-Codes). Die Virenscanner, die etwas erkannten waren Fortinet, McAfee (mit zwei Produkten), Microsoft und VIPRE. Aufgrund der Natur des Exploit-Packs kann allerdings nicht exakt ermittelt werden, welches Antivirenprogramm eventuell installierte Schadsoftware tatsächlich erkennt.

 

Die CMS-Dateien wurden am 24. 08. 2013 ungefähr 02:00 durch eine virenfreie Version ersetzt. Die Caches wurden sicherheitshalber am 25. 08. 2013 um 15:00 noch einmal geleert.

 

Sollten Sie unsere Webseite in der Zeit vom 22. 08. 2013 Nachmittag bis 25. 08. 2013 15:00 besucht haben, so empfehlen wir Ihnen einen Virenscan mit mindestens einem Virenprogramm und danach zusätzlich das Leeren des Browser-Caches (sofern Ihre Unternehmensrichtlinien das zulassen), um eventuell noch im Browsercache befindlichen Exploitcode zu eliminieren und zu verhindern, dass das Exploit-Pack erneut aktiv wird.

 

Das Exploit-Pack scheint laut Informationen der Antivirenhersteller clientseitig Sicherheitslücken in Programmen wie PDF-Betrachtern, Flash Player, Browser, Java, Windows auszunutzen. Daher ist es empfehlenswert diese Programme auf dem neuesten Patchlevel zu halten bzw. falls nicht benötigt zu deinstallieren.

 

Laut Hostingprovider sollten die Server-Systemdateien nicht infiziert worden sein. Der Infektionsvektor konnte leider nicht mehr ermittelt werden, da die relevanten Logfiles zum Zeitpunkt der Infektionsentdeckung leider nicht mehr zur Verfügung standen.


Terminübersicht


News


zuletzt aktualisiert:  Sunday, February 26, 2012