Sicherheitsproblem: Umleitung auf file2store.info

Moin,
ich kopiere mal meinen Beitrag bei vBG hierher, da ich nicht feststellen kann wo der Kern des Problem liegt.
Foren die ich beim Googlen nach dem Problem gefunden habe verwenden aber vBSEO 3.3.2.

__________________________________________________ ________________

Moin,
folgendes Problem.
Seit 1.3.10 habe ich in Adsens weniger Impression und in Analytics weniger Besucher.
Laut Forum und nach den Logfiles ist der Besuch aber beständig geblieben.

Zunächst konnte ich mir das nicht erklären.
Heute habe, mal wieder einige Suchtests gemacht.
Gesucht habe ich nach:

Code:

site:brasil-web.de inurl:/pt/ vbsoccer

Dabei ist mir folgendes Aufgefallen.
Die Anfrage wird umgeleitet auf file2store.info

Im Firefox, neuer Tab, konnte ich nicht zurück gehen.
Im IE, neuer Tab, konnte ich von dieser Seite zurück auf das Forum.

Es schient so zu sein das Forum/Server die Anfrage weiterleiten.
Ich hatte diesen Effekt zu hause (Norten360) und auch auf der Arbeit (McAffe)

In diesem Beitrag:
Google DNS Domain Hijack? - public-dns-discuss | Google Groups
steht folgendes:

Code:

I've been Googling this all weekend trying to find some answers.  It 
 appears that all the sites that are having their users redirected to 
 file2store DOT info are running vBulletin version 3.8.4 or older, so 
 it appears this may be a vBulletin exploit of some type.

Ich habe gerade noch mal alles Dateien von vB 3.8.4 und von vBSEO neu hoch geladen.
Mein Forum war im November von dem vBSEO Problem betroffen.
Die im vBSEO genannten Tipps zur Suche von Problemen auf dem Server ergeben aktuell kein Problem.

Für mich:
Ich bin für weiter Tipps dankbar wie ich nach dem Problem fahnden kann.

Für alle:
Überprüft mal die Suche nach eurem Forum ob ihr ähnliches habt und vergleicht ggf. Adsens, Analytics oder Anderes mit euren Logfiles ob es dabei Auffälligkeiten gibt.

Es scheint so zu sein als wenn zu diesen Umleitungen nur bei Gästen vorkommt die von Google (anderen Suchmaschinen?) kommen.
Da wir als Admins und unsere User die URL direkt aufrufen wird das Problem nicht so schnell bemerkt.

Gruß
Christian

wie im deutschen forum bereits geschrieben, bin ich von der thematik auch betroffen und an einer möglichst schnellen umfangreichen aufklärung interessiert.

großen dank schon mal an christian.

auch ich hab jetzt alle dateien ausgetauscht (3.8.5 und vbseo ebenfalls)

Moin,
muskelboy ist unter den Top 10 Upstream Sites für file2store.info bei Alexa:
file2store.info - Site Info from Alexa

Es sieht so aus als wenn alle Top 10 dort vBSEO einsetzen.
Wobei ich mir bei der Arabischen Seite nicht sicher bin.

Christian

Ich gebe das sofort an das Team weiter und melde mich

Verstehe ich das Thema bei vB-G richtig, dass das Problem mit Überschreibung der Files behoben wurde??

bei muskelbody hab ich die vbseo dateien nicht überschrieben, da ich sie hier nicht downloaden konnte (wollte die komplette 3.3.2 einspielen). bei sportsuche hab ich vb 3.85, vbseo 3.3.1 + patch komplett neu überschrieben.

Moin,
für mich ist unwahrscheinlich schwer das Problem überhaubt zu lokalisieren.
Das der Hack einen Cookie schreibt mit dem Namen vbsp habe ich danach gesucht in den Dateien und in der Datenbank - ohne Erfolg.

Ich habe:
vBulletin Dateien neu hoch geladen - kein Erfolg
vBSEO deaktiviert - kein Erfolg
vBSEO neu hoch geladen neu importiert - kein Erfolg
Add-On / Plugin System global deaktiviert - Umleitung verschwindet
Add-On / Plugin System global aktiviert - Umleitung wieder da
Blog deaktiviert - Umleitung verschwindet
Blog aktiviert - Umleitung bleibt verschwunden

Blog neu hoch geladen / importiert - Umleitung bisher nicht wieder aufgetaucht.
Datenbank Passwort neu gesetzt.

Bie jemand anders war auch ein Forum betroffen das keinen blog hat, da wurde der hack wohl auch durch das Update auf 3.8.5 behoben.

Wenn ich mir den Traffiv bei Alexa anschaue steht zu vermuten das noch ein Vielzahl von Foren betroffen ist. Allerdings gibt der Trend der eltzten Tage die Hoffnung das das Problem automatisch mit dem Update auf 3.8.5 beseitigt wird.


Das muss nicht an vBSEO liegen, Das die Upstream Sites für file2store.info alle mit vBSEO arbeiten kann auch nur zeigen das man mit vBSEO einfach mehr Traffic hat.

Bitte nicht falsch Verstehen - aber es wäre schön wenn jemand betroffen wäre der in der Lage ist das Problem erstmals zu identifizieren.

Gruß
Christian

hier noch etwas auf englisch dazu: http://www.vbseo.com/f3/security-iss...o-3-3-x-41463/

Ticket für's Team erstellt. Ich melde mich

Hey,

es scheint das gleiche Problem zu sein, ja.

Wir haben einen Fix dafür. Ich möchte diesen jedoch nicht posten.

Bitte sendet mir Tickets mit euren FTP Daten. Dann ändere ich euren Quelltext entsprechend ab

Ticket unterwegs

Danke Christian

wird es keinen allgemeinen fix geben ? oder ist das problem in 3.5. bereit erkannt ?

im ticket kann ich nur 1 mal ftp daten eintragen, es betrifft aber 2 foren.

können wir das nicht anders machen ?

Hey,

wir haben festgestellt, dass es nicht *zwingend* durch diese Quellcode-Änderung gefixt ist.
Am Thema bleiben wir dran. Ich melde mich, sobald ich mehr sagen kann.

@ thompson

Bitte verstehe, dass ich solche Fixes nicht veröffentliche.

hat es denn bei christian funktioniert ?

Momentan wird eben das noch geprüft