Malware im Forum?

  • Hallo,
    ich bin jetzt des öfteren auf eine seltsame Seite umgeleitet worden, wenn ich das Forum per Google aufrufe. Kann es ein, dass das Forum gehackt wurde?


    Hier ist was ich tue:
    a) All cookies im Browser löschen
    b) Google.de aufrufen
    c) Suchbegriff 'virtuemart forum' eingeben
    d) 1. Ergebnis 'Das deutsche Virtuemart Forum' - forum.virtuemart.de anklicken
    e) Dann erscheint diese Seite:

    f) Browser 'zurück' drücken, dann erneut forum.virtuemart.de anklicken. Jetzt komme ich zum Forum


    Die Malware Seite taucht erst wieder auf, wenn die Browser Cookies gelöscht werden. Sieht für mich wie ein Website Hack aus der nur auftaucht, wenn man von Google kommt.

  • Vielen Dank für Eure Mitteilungen, hier insbsondere "Belgaron".


    Ja, es ist ein bekanntes Problem in der vBulletin-Szene. Nicht erst seit jetzt, sondern schon seit längerer Zeit. Bislang konnte ich diverse Hacks mit den Folgen solcher Umleitungen strikt verhindern. Das gelang durch regelmäßige Beobachtung und Lektüre der vBulletin-Szene. Mit Szene meine ich diejenigen, die sich konstruktiv an verschiedenen Orten/Stellen online wie offline mit der Forensoftware auseinandersetzen, hier konkret aus sicherheitstechnischer Sicht.


    Aber es ist nunmal so wie es ist... ein sehr leidiges Thema. Immerhin, ich weiß, wo die Ursache liegt. Es liegt an der verwendeten Erweiterung VBSEO (die ist u.a. für die suchmaschinenfreundlichen Links zuständig). Da dieses Plugin seit längerer Zeit nicht mehr weiter entwickelt wurde, offenbarte sich dort eine Sicherheitslücke. Es wurde ein bestimmter Code in die Datenbank gedrückt, welcher dafür sorgt, dass bei Eintritt in unser Forum über eine Suchmaschine es zu der von Belgaron beschriebenen Umleitung kam.


    Durch entsprechende Gegenmaßnahmen habe ich mit absoluter Sicherheit den betreffenden Code an mehreren Stellen abschließend finden und löschen können. Ein wiederholter Selbsttest zeigt, dass es gegenwärtig keine Umleitungen mehr auf eine Seite mit Malware gibt. Insofern ist dies bereinigt. Die Ursache lässt sich nicht beheben, zumal VBSEO so ist wie es ist... alt und unverändert. Aber ich habe weitere Torwächter im System aufgestellt, sprich Maßnahmen ergriffen, die eine Sperrung nach außen bewirken, was das Einbringen des Schadcodes angeht.


    Natürlich bin ich kein "Zauberer", hoffe jedoch, mit meinen Fertigkeiten dem Problem effizient auf den Pelz gerückt zu sein.


    Wenn jemand in Zukunft neue oder weitere Probleme dieser Art feststellen sollte, so bitte ich dringend um zeitnahe Benachrichtigung, um so schnell wie möglich eingreifen zu können. Belgaron hat zeitnah berichtet und dafür bedanke ich mich ganz herzlich! Denn wie er richtigerweise beschreibt, bekommst Du nur die Umleitung, wenn noch kein (!) Cookie für forum.virtuemart.de gespeichert ist.


    Für die Zukunft wäre generell zu überlegen, von vBulletin zu einer anderen Forensoftware zu wechseln. vBulletin selbst hingegen ist allerdings eine der sichersten Forensoftware überhaupt, wenn aktuell gehalten (was hier der Fall ist) und wenn Erweiterungen wie VBSEO aktuell sind (was hier nicht sein konnte, da nicht weiter entwickelt). Alternativ wäre zu überlegen, in der nächsten Zeit VBSEO abzusetzen, sprich zu deinstallieren und eine .htaccess mit Umleitungen aufzubauen, so dass wir bei Google nichts verlieren an Links bzw. nicht die ganze Prozedur des mühsamen Neuaufbaus der Links durchlaufen müssen.


    Dies alles deshalb so ausführlich, weil ich es als meine Pflicht erachte, bei einer derartigen Meldung mit positiver Bestätigung auch von hier aus für volle Transparenz zu sorgen.


    Vielen Dank für Eure Aufmerksamkeit!


    Mit besten Grüßen.
    Michael Schulze

  • Hallo Michael,


    vielen Dank für diese ausführliche Antwort und das Bereinigen des Forums. Ich kann mir vorstellen dass es ein ziemliches Ärgernis ist mit einem Plugin zu leben, dass eine bekannte Sicherheitslücke enthält.


    Im Moment jedenfalls sieht alles wieder clean aus. Das war schon ein ganz guter 'Zauber' den Du da vollbracht hast ;-)