lifisther.from-ks.com erlauben?

[uwe]

Hallo,

ständig soll ich der Website lifisther.from-ks.com das öffnen eines Programms erlauben, was ist das?

[Bernd Glasstetter]

Wir schauen es uns gerade an. Hang on.

[Bernd Glasstetter]

Kurzer Zwischenstand: Wir haben ein IFRAME gefunden, das eingeschleust wird. Aber offensichtlich nur in den Styles, in denen Werbung aktiv sind.

[Bernd Glasstetter]

Bestätigt. Und beseitigt. Da war ein Adserver in Mitleidenschaft gezogen worden.

[Susumu]

Was bedeutet das genau? Der Norton in der Arbeit reagierte auf jeden Fall sehr gereizt und lies mich nicht auf eure Seite:

Schweregrad: Hoch
Aktivität: Ein Eindringversuch von lifisthere.from-ks.com wurde blockiert

Weitere Details:
Name des Risikos: Web Attack: Blackhole Toolkit Website 14
Angreifender Computer: lifisthere.from-ks.com (67.209.225.205, 80)
Angreifer-URL: lifisthere.from-ks.com/showfile.php?page=33854a2443dd0126
Beschreibung des Datenverkehrs: TCP, www-http

Netzwerkverkehr von lifisthere.from-ks.com entspricht der Signatur eines
bekannten ANgriffs. Der Angriff wurde von
\DEVICE\HARDDISKVOLUME1\PROGRAMME\INTERNET EXPLORER\IEXPLORER:EXE
verursacht.

[Bernd Glasstetter]

Also um es genauer auszuführen: Einer der Adserver lieferte ein Javascript zusammen mit einem Banner aus. Dieses Javascript enthielt einen Versuch Euch umzuleiten. Wir konnten es dann relativ schnell abstellen.

[Susumu]

Naja, trotzdem frage ich mal: gibt es da keine Möglichkeiten, so einen Angriff in Zukunft von vornherein auszuschließen? Z.B. durch Prüfen der Werbebanner auf Viren, bevor sie eingestellt werden? Immerhin war das zumindest in diesem Fall scheinbar kein brandneuer Virus mehr, zumindest von der Angriffsart her, der auf die Weise doch vermutlich hängen geblieben wäre?

[Bernd Glasstetter]

Da in dem Fall der Adserver selbst gehacked worden war: Nein, kann man nicht komplett ausschließen. Man kann zusehen, dass der Adserver immer auf dem neuesten Stand ist. Aber manchmal werden Lücken schon kurze Zeit nach Bekanntwerden ausgenutzt, so dass - wie in diesem Fall geschehen - das Update ein bisschen zu spät kam. Das Rennen zwischen Hackern und Administratoren ist immer ein Hase-Igel-Spiel. Der Igel - in dem Fall der Hacker - ist oft genug schneller. Man kann dann - wie hier geschehen - so schnell wie möglich reagieren und das Problem lösen. Und man sieht es ja oft genug, dass noch viel größere Sites eben auch immer wieder von Angriffen getroffen werden. Selbst FBI und CIA sind nicht davor gefeit.