Virusbefall auf Trophies-PS3.de - Folgen & Vorkehrungen - UPDATE 28.05.12

[Theo]

Hallo zusammen,

in der letzten Woche erfolgte ein Hacker-Angriff auf uns, welcher einen Schadcode - von uns unbemerkt - in unser System schleuste. Dies veranlasste uns, die Seite kurze Zeit später für die Benutzer zu sperren, damit wir die Ausbreitung bremsen konnten.

Leider hat es einige dennoch befallen, was uns wirklich leid tut. Das Internet ist nicht und wird auch niemals zu 100% sicher sein. Entsprechende Sicherheitssysteme und -software wird eben auch nur von Menschen gemacht.

Noch einmal kurz und bündig die Begebenheiten zusammengefasst:

Was ist passiert?

Durch einen Hacker-Angriff auf unsere Webseite (Startseite/Forum) wurde unbemerkt Malware verteilt. Diese Malware war u.a. der sogenannte Bundestrojaner, welcher einige Computer außer Gefecht setzte. Da sich die entsprechende Malware ständig änderte (immer wieder andere URL), könnten auch andere Viren, Trojaner und Schädlinge jeglicher Art verschickt worden sein.

Welche Auswirkungen hatte der Angriff?

Wir können natürlich nicht sagen, wie es den einzelnen betroffen hat, bzw. welche schädliche Software verschickt wurde. Dennoch bitten wir euch das Ganze ernst zu nehmen und lieber einmal mehr kontrollieren und anpassen, als am Ende mit weiteren Folgen zu rechnen.

1. Es könnten Passwörter gestohlen sein. Ist nicht weiter schlimm wenn es euer Passwort hier im Forum ist - damit kann kaum einer was anfangen - aber auf dem heimischen Rechner surft ihr natürlich auch andere Seiten an. Deshalb sollte ich lieber entsprechende Maßnahmen ergreifen, welche ihr weiter unten lesen könnt. Nutzt ihr die selben Passwörter auf mehreren Seiten, dann bitte auch dort diese ändern.

Was muss ich tun?

1. Euren Cache leeren.

2. Euer System auf Malware überprüfen. Dazu gibt es kostenlose Sicherheitstools: http://www.heise.de/download/f-secure-rescue-cd.html oder http://www.heise.de/download/bitdefender-rescue-cd.html. Avira hat eine Anleitung dazu, wie Rettungs-Tools auf USB-Sticks bootfähig gemacht werden können: USB-Stick bootfähig machen.Nutzer, die ein Intel-RAID verwenden, können auf die Kaspersky Rescue Disk ausweichen, sollten die anderen Tools nicht funktionieren.

3. Euer Passwort hier und auf etlichen anderen Seiten ändern, welche ihr in der letzten Woche angesurft habt. (Niemals das gleiche Passwort zweimal verwenden und Schritt 1 & 2 vorher erledigen!)

4. Weitere Infos: http://www.buffed.de/Computec-Media-AG-DE-Firma-15341/News/Hacker-Angriff-auf-unsere-Seiten-Malware-verteilt-Zugriff-auf-Daten-878294/

FAQ

Sind Ausweise für den Marktplatz bzw. Face2Face betroffen?

- Nein. Diese werden nicht auf unserem Server gespeichert.

Kann ich eure Seite wieder beruhigt ansurfen?

- Ja. Wir haben entsprechend verschärfte Sicherheitsmaßnahmen getroffen und hoffen offene Lücken verdichtet zu haben.

Kann so ein Angriff wieder passieren?

- Ja. Hacker-Angriffe sind allgegenwärtig. Jedes noch so gute Sicherheitssystem kann umgangen werden, wenn entsprechendes Know-How besteht.

Habt ihr Vorsichtsmaßnahmen getroffen?

- Ja. Wir haben den Zugriff durch bspw. einer Web Application Firewall erschwert. Auch wurden entsprechende Rechte zur Änderung und Bearbeitung von Dateien und Ordner verschärft. Diesbezüglich kann es vorkommen, dass ihr Störungen beim normalen Betrieb erlebt, wie z.B. kein Zugriff oder Ähnliches. Teilt uns das mit, so das wir nach und nach die benötigten Rechte lockern können.

Wo erhalte ich weitere Informationen?

- Leider traf es auch die Kollegen der Computec Media AG mit vielen ihrer Seiten. Diesbezüglich gibt es auch dort weitere Infos und Vorgehensweisen erläutert: http://www.buffed.de/Computec-Media-AG-DE-Firma-15341/News/Hacker-Angriff-auf-unsere-Seiten-Malware-verteilt-Zugriff-auf-Daten-878294/

Wir bitten noch einmal um Verständnis und danken für eure Geduld.

Euer Trophies-PS3.de - Team

PS: Ein großes Dankeschön vom ganzen Team geht ganz besonders an din1031 und unserem Server-Admin Benedikt. Ohne die Arbeit dieser zwei Personen hätten wir den Angriff wohl nicht so leicht und schnell bewältigen können. Sie haben viele Stunden dafür geopfert.

---

Update 09.05.12

Wir wurden wieder einmal per XSS gehackt...

Keine .js datei war betroffen sie haben sich direkt in den Quellcode geschrieben... ich denke das dies durch "http://www.vbseo.com/f5/security-bulletin-vbseo-3-6-0-pl2-released-53801/" ermöglicht wurde. Die Lücke ist soweit geschlossen... geprüft habe ich es auch soweit und denk es ist wieder sicher.

Die Seite war von 13:47-15:15 erreichbar mit der Malware IFrame... es sind soweit alles entfernt jedoch empfehle ich alle welche in der Zeit auf der Seite waren sein System zu Prüfen.

---

Update 28.05.12

Unser Befall ist beseitigt und einige Lücken geschlossen. Wir hoffen, dass wir erst einmal nicht mehr betroffen sind. Natürlich können wir das nicht garantieren, jedoch betreut uns nun eine Sicherheitsfirma, welche - bei möglichen erneuten Befall - viel schneller reagieren kann und wird.

Wir danken für eure Geduld und eure Treue! Ihr seid die besten Mitglieder die man sich vorstellen kann!

[Lauriids]

Zum Glück läuft's wieder

[Homie21HB]

Danke für das schnelle Eingreifen. Mich hat's leider auch erwischt

BDS/ZACCESS.AX.1

TR/Rogue.KDV.604197

EXP/2012-0507.D.2

[Akairo2]

Die Schweine. Danke für eure Arbeit

so far akairo

[DasCryBaby]

weiss wer was die wollten aber glück is wieder alles jut danke

[Lorago]

Mir machts auch nichts aus Freu mich auch das es wieder geht^^

[Majini_95]

Deswegen hat Avast ganze Zeit die Seite hier geblockt o0

Da stand nämlich immer das eine Schädlich Website geblockt wurde.. Ich dachte schon das Programm spinnt.,.

[StayT]

Mich hat es nicht erwischt. Gut, dass alles wieder läuft.

[Nobby185]

Super Arbeit. Schön das wir wieder online sind

[Firusha_Firu]

Mich hatte der sogenannte Bundestrojaner auch getroffen, aber mit ein wenig Recherche habe ich rausgefunden wie man ihn komplett entfernen kann, ohne die Festplatte formatieren zu müssen oder ähnliches, falls also jmd selbiges Problem noch hat...ich stehe für Fragen zur Verfügung

Mich hatte es erwischt als ich mich gerade anmelden wollte

Btw: Wenn ich versuche mein Platinbanner zu erstellen steht immer da ich müsse mich erst einloggen....könnte das an den bereits erwähnten Sicherheitsänderungen liegen ?

[Gast]

Ist echt mies gelaufen. aber ich bin froh, dass die Seite so schnell zum Laufen gebracht wurde und hoffe, das sowas nicht so schnell wieder passiert.

Auch von mir ein fettes "DANKESCHÖN" das ihr alles wieder schick gemacht habt.

[Kaba]

Ja, vielen Dank für Euren unermüdlichen Einsatz (muss man ja fast so sagen). Ohne abends mal kurz oder länger ( ) das Forum abzuchecken, fehlt mir doch irgendwas. Schön, daß es wieder läuft.

Btw. ich hab noch keine Veränderung bei mir bemerkt - ich hoffe, das bleibt auch so....

[undertakersmack]

endlich gehts wieder,Danke für eure Mühe^^

[madd8t]

ich bedanke mich bei allen die ihre zeit dafür geopfert haben das forum wieder zum laufen zu bringen..

schön das es wieder funzt..

[Sveninho]

Also ist mein Laptop nicht davon betroffen?

Ich bin nämlich erst am Sonntag wieder auf die Seite gegangen und da kam dann diese Entschuldigung von euch dass die Seite wieder runtergefahren wurde...

Aber schön das ihr wieder da seid

[john_cena1993]

mich hats leider auch erwischt^^ (Bundestrojaner)

Aber ich bin froh das die Seite wieder online ist

[screech]

Also wer wirklich einen Trojaner gefangen hat, sollte mehr tun, als das was als ratgeber empfohlen wird. Einige dieser mist dinger schleichen sich auch auf alle angeschlossen externe Speicher ein. wenn man dann den trojaner entfernt und den externen speicher anschliesst hat man ihn gleich wieder.

um trojaner richtig zu entfernen gibts es speziallisierte hilfeboards. würde mich lieber dahin wenden und alles richtig entfernen bevor man es auf eigene faust versucht. gerade wenn man nicht weiss was einem so manche programme zum löschen vorschlagen. da kann man auch schnell mal das falsche löschen.

[Romeo]

Danke euch, daß ihr es schnell wieder hinbekommen habt!

Hätte nicht gedacht, daß ich ohne das Forum gar nicht mehr leben kann!

Deswegen hat Avast ganze Zeit die Seite hier geblockt o0

Da stand nämlich immer das eine Schädlich Website geblockt wurde.. Ich dachte schon das Programm spinnt.,.

Jetzt weißt du immerhin, daß dein Virenscanner funktioniert!

[Gismo2204]

Hi,

dank diesen Hacker-Angriff hatte ich ein unzerstörbaren Virus bekommen > Was soll der scheiß?! Mein G-Data-Anti-Virus Programm wurde sogar ausgeknockt! Ich musste mir letztens ein neuen PC für über 600€ gekauft und das nur wegen diesen scheiß Angriff

Habt ihr wenigstens herrausgefunden, wer dieser Hacker ist, damit ich ihn verklagen kann? Ich will Schadenersatz!

[john_cena1993]

Also wer wirklich einen Trojaner gefangen hat, sollte mehr tun, als das was als ratgeber empfohlen wird. Einige dieser mist dinger schleichen sich auch auf alle angeschlossen externe Speicher ein. wenn man dann den trojaner entfernt und den externen speicher anschliesst hat man ihn gleich wieder.

um trojaner richtig zu entfernen gibts es speziallisierte hilfeboards. würde mich lieber dahin wenden und alles richtig entfernen bevor man es auf eigene faust versucht. gerade wenn man nicht weiss was einem so manche programme zum löschen vorschlagen. da kann man auch schnell mal das falsche löschen.

ich hab ne zum Spezialisten gebracht. Kostet zwischen 50 und 70 € und ich kann sicher sein das alles abgecheckt wurde und richtig gemacht wurde.