Trojaner-Gefahr auf Internetradio-Homepages?

Status
Für weitere Antworten geschlossen.
Bitte mit Vorsicht genießen!

Entschuldigung, dass ich hier mal einen alten Thread aus dem Keller hole, aber da ich so hin und wieder die Links zu den Vorstellungen überprüfe, ist mir hier etwas begegnet, das ich bislang noch nicht hatte.

Mein Firefox alarmiert mich gerade:

Die Website auf www.hitradio.lu wurde als attackierende Seite gemeldet und auf Grund Ihrer Sicherheitseinstellungen blockiert.

Attackierende Websites versuchen, Programme zu installieren, die private Informationen stehlen, Ihren Computer verwenden, um andere zu attackieren oder Ihr System beschädigen.

Manche Websites vertreiben bewusst Viren und ähnlich schädliche Software, aber viele Websites sind auch ohne das Wissen oder die Erlaubnis des Betreibers kompromittiert.
Aufgrund dessen habe ich es mit dem Internet Explorer erst gar nicht probiert.
Seit knapp 250 Link-Checks ist das die erste Warnung dieser Art, die ich beim Aufruf eines Internetradios erhalte.

Was ist denn da los?
Hat jemand die Möglichkeit, das zu überprüfen, ohne seine Daten zu gefährden?
Der Vorsteller war seit über einem Jahr hier nicht mehr aktiv.

Bitte klärt mich auf, wenn da jemand eine Idee hat.
Vielen Dank & Gruß, Uli
 
AW: HitRadio – Das größte Internetradio in Luxemburg

Stimmt, das selbe kam bei mir heraus.

Aber dieses "Phaenomen" hatten wir vor einiger Zeit auch bei einem anderen bereits hier vorgestellten Webradio.

Nachtrag:

Unser Webradio
Beitrag #29 mit Screenshots zum Thema Viren

Commander Keen erklaerte hier, dass es sich wohl mehr um eine Art von Spy/Adware (Malware) handeln wuerde, als vielmehr um Viren.
Wobei Virenscanner diese als Virus erkennen koennen, wie man in dem von mir angehaengten Screenshot sehen kann.
 

Anhänge

  • hitradiolu.jpg
    hitradiolu.jpg
    142,5 KB · Aufrufe: 49
AW: HitRadio – Das größte Internetradio in Luxemburg

Sehr nett. Das Aufrufen der Seite hat meinen Systemadministrator hier in der Firma veranlasst, mich anzurufen. Unsere Firewall hat ne hübsche kleine, wen auch nicht ganz so gefährliche, Warnung ausgeworfen:

Also Known As: TROJ_ASPROX.A [Trend]
Type: Trojan
Infection Length: 40,960 bytes and 61,440 bytes

Also ich kann in Zukunft uff des HiddRadschö verzichten.

Gruß
Wilson
 
AW: Trojaner-Gefahr auf Internetradio-Homepages?

Ich habe das Thema aus dem Thread der Vorstellung des Radios in einen eigenen Thread verschoben, nachdem mir diese Meldung nun auch bei einem anderen Internetradio begegnete.

  • Ist das ein allgemeines Phänomen, das ganz frisch um sich greift?

  • Betrifft es nur Homepages von Internetradios?

  • Wo ist der wunde Punkt?
    Counter, Votings, Uhren, Werbung, Links, Banner?

  • Wie kann man sich ale Betreiber am geschicktesten schützen und wehren?
    Schließlich geht es hier um die Hörer!

  • Kann ein "infizierter" Hörer den Trojaner auf die Internetradio-Homepage einschleppen?
Was haltet ihr von der Sache?

Gruß, Uli
 
AW: Trojaner-Gefahr auf Internetradio-Homepages?

Ich habe das Thema aus dem Thread der Vorstellung des Radios in einen eigenen Thread verschoben, nachdem mir diese Meldung nun auch bei einem anderen Internetradio begegnete.
Prima, so kann sich eine gute Diskussion hierueber entfalten.
  • Ist das ein allgemeines Phänomen, das ganz frisch um sich greift?
Nein, es ist, habe ich den Eindruck, ein relativ neues Phaenomen.

  • Betrifft es nur Homepages von Internetradios?
Ja! Zumindest bevorzugt. Denn professionelle Radiosender wuerden sich solche Dinger wohl eher nicht "erlauben".

  • Wo ist der wunde Punkt?
    Counter, Votings, Uhren, Werbung, Links, Banner?
Die "Neugier" der Betreiber. Ausserdem der Werbemarkt. Es will ja versucht werden das Radio zu finanzieren - und das versuchen, so mein Eindruck - manche mit allen zur Verfuegung stehenden Mitteln. Trojaner liefern Daten - und diese lassen sich weiterverarbeiten.

  • Wie kann man sich ale Betreiber am geschicktesten schützen und wehren?
    Schließlich geht es hier um die Hörer!
Seine Website vor in Betriebnahme erneut scannen und sicher programmieren. Vor allem ohne Pfusch, Sicherheitsluecken (offene Scheunentore). Vor allem auf Linux-Servern ist dies noch schwieriger als auf Windows-Servern.

  • Kann ein "infizierter" Hörer den Trojaner auf die Internetradio-Homepage einschleppen?
Nein, da er dazu den Trojaner Uploaden muesste.
Dies ist in der Regel nicht moeglich, da er dazu einen FTP- oder SCPzugang benoetigt, ueber den er als Besucher nicht verfuegt.
Was haltet ihr von der Sache?

Gruß, Uli
Ein hervorragender Ansatz, wie ich denke.

Gruss
Inselkobi
 
AW: Trojaner-Gefahr auf Internetradio-Homepages?

Der zweite von mir gefundene Kandidat ist "Hot Music Radio" (sie sollen sich zwar anders nennen, aber die Domain gibt es wohl noch).

Danke für den anderen Link, Inselkobi. Commander Keens Erklärungen damals bezogen sich darauf, dass innerhalb eines IFrames ein Flatcast-Plugin nachgeladen werden sollte.
Bei den beiden Radios, um die es sich hier dreht, unterstelle ich mal nicht den Flatcast.

Auffällig ist, dass ich erst neulich die Liste der hier vorgestellten Internetradios durchgeprüft habe - ohne Auffälligkeiten - und ausgerechnet heute gleich zwei solcher Meldungen aufschlagen.
Statistiker und Wahrscheinlichkeitsrechner, spitzt die Bleistifte!

Beide Radios haben sich 2007 hier vorgestellt, das eine im Januar, das andere im August.
Leute, da ist doch was im Busch....

Über eine fundierte Analyse von Commander Keen wie damals würde ich mich sehr freuen - und natürlich über Kommentare all' der anderen Spezialisten.

Gruß, Uli
 
AW: Trojaner-Gefahr auf Internetradio-Homepages?

Nun, daß die jetzt "zu Hauf" zu Tage treten, muß ja nicht heißen, daß das grundlegende Problem nicht schon länger besteht und eben jetzt mit den aktuellen Systemen besser erkannt wird. Im Übrigen ist das Phänomen in einer ganz anderen "Szene" schon länger bekannt und verbreitet, und zwar bei diesen ganzen "Paid-Klick","Paid-Surf" und wie sie alle heißen mögen Systemen, also diese "Communitys", wo man sich anmeldet, und auf alle möglichen Werbebanner etc. klickt, um irgendeine virtuelle Währung zu erhalten, die man irgendwann einmal in ein paar cents umwandeln kann... Da gibt es einige "Betrugssysteme", die auf ähnlichen Mechanismen basieren und so z.B. Werbeblocker etc. umgehen wollen. Diese Malware arbeitet also ähnlich wie ein Trojaner, indem sie eine "Backdoor" öffnet, über die eben - wasauchimmer- eingeschleust werden kann.

Gruß,
Croydon
 
AW: Trojaner-Gefahr auf Internetradio-Homepages?

Dieses "Phänomen" kenne ich schon seit ca. einem Jahr - damals war ich auch für die Technik des Radios zuständig bei dem ich war und habe mehrfach von Hörern mehr oder weniger nette Hinweise darauf bekommen, daß unsere Webseite deren Rechner hacken wolle - ich fand dann heraus, daß sie genau so eine Trojaner-Meldung von ihrer Antivire-Software bekommen hatten.

Der Grund war bei uns unser Browser-Plugin (Player für das Radio), der sich automatisch installieren wollte. Ich war dann aber recht schnell weg von dem Radio, so daß ich nicht mehr mitbekommen habe, wie sich das weiter entwickelt hat... betroffen war damals allerdings nur der IE.

LG

McCavity
 
AW: Trojaner-Gefahr auf Internetradio-Homepages?

Das sind wichtige Infos für Radiobetreiber und deren technische Betreuer, danke.
icon14.gif


Jetzt würde mich interessieren, ob sich diese Trojaner in bereits bestehende Systeme auf der Homepage bzw. Player einschleichen können oder erst dann Gefahr besteht, wenn solche Player bzw. vergleichbar anfällige Systeme neu implementiert werden.
Schließlich sind die hier genannten Radios seit mindestens 2007 aktiv, aber erst jetzt aufgefallen (mehr habe ich (noch) nicht gefunden).

Besteht für den Seitenbetreiber akuter Handlungsbedarf?
Was kann man den Internetradiobetreibern mit auf den Weg geben?
Wie können die Betroffenen darauf aufmerksam gemacht werden? Eine Seite, vor der ich gewarnt werde, öffne ich eigentlich nicht.....

Gruß, Uli
 
AW: Trojaner-Gefahr auf Internetradio-Homepages?

Wie schon mal geschrieben wurde, selbstverständlich kann sich ein solcher Trojaner nicht von Homepage zu Homepage schleichen. Zum einen schon mal deswegen, weil es ja unterschiedliche Betriebssysteme für Webserver gibt, zum anderen, weil dazu ja zumindest eine Möglichkeit des Transfers offenstehen müsste. Ich denke mal, daß ein solcher "Pseudotrojaner" - denn eigentlich ist es kein echtes Virus, sondern "nur" entsprechende Malware über die Website an viele Websitebesucher gestreut wird und sich dann auf "herkömmlichem" Wege über Netzbenutzung, Filetransfer, Mails etc. weiter verbreitet.

In der Form vermute ich eher mal, daß diese Malware nur zum Aushebeln von Sicherungsmechanismen wie Ad-Blocker, Firewall oder Anon-Proxy dienen soll, weniger einem "echten" Angriff. Es kann sein, daß das irgendein Statistikmodul ist, das verwendet wird, und diesen Trojaner als Datencollector verschleudert, um damit Userdaten zu sammeln und weiterzuleiten.

Für den Betreiber herrscht natürlich Handlungsbedarf, zum einen kann der Provider den Webspace aufgrund solcher Beschwerden kurzerhand schliessen oder kündigen, zum anderen ist es ja auch nicht unbedingt werbewirksam.

Als Tipp kann ich nur auf den Weg geben - nicht jeden Scheiß irgendwo runterladen und ausprobieren, weniger ist auch in diesem Falle wiedermal mehr.

Die Betroffenen - allgemeiner Tipp : Virenscanner benutzen und aktiv halten, dann wird man vor solchen Seiten gewarnt und ist sensibilisiert. Gute Virenscanner erlauben es auch nicht, daß solcher Code ausgeführt oder aktiviert wird und unterbinden die entsprechenden Funktionen damit.

das kann sogar schon der Avira Free Edition...

Gruß,
Croydon
 
AW: Trojaner-Gefahr auf Internetradio-Homepages?

Meine Astaro (mein Webproxy mit 2 unabhängigen Scan-Engines) hat die Seite ohne Beanstandung geöffnet. Mein lokal installierter Scanner unter Vista (G-Data AVK 2008) meldet mir einen Fund:

Letzte Infektion: C:\Users\Marcel\AppData\Local\Mozilla\Firefox\Profiles\vl3b3ckt.default\Cache\5E7C6D56d01
Infiziert mit: Trojan-Downloader.JS.Agent.ciw

Also ich vermute eher einen Fehlalarm, denne einer akuten Bedrohung. Die TrendMicro Beschreibung von Wilsons Admin ist nicht ganz plausibel ... da auf Port 80 wohl desöfteren WebProxies zu finden sein werden. Ich gehe mal von einem doofen Zufall aus.

Da ich leider nicht genau sehen kann welche Joomla Version hier im Einsatz ist kann es natürlich aber auch eine Vorbereitung zu einer Infektion sein. Solange man aber seine Scanner pflegt sollte keine Gefahr bestehen.
 
AW: Trojaner-Gefahr auf Internetradio-Homepages?

[...]
Solange man aber seine Scanner pflegt sollte keine Gefahr bestehen.

Nichts desto trotz ist es eine, wie ich finde, unschoene Angelegenheit und eine - fast schon Frechheit - gegenueber dem Hoerer.
Wenn ich als Hoerer auf eine Website gelange, bei der mein Virenscanner mir eine derartige Warnung ausgibt, ist das fuer mich in der Tat eine Warnung - und ein ein Hinweis des Betreibers, dass ich auf seiner Website nicht erwuenscht bin.

Rein theoretisch koennte der Betreiber mir ja auch etwas anderes "unterjubeln" wollen (gehen wir in diesem Moment nicht davon aus, aber es koennte durchaus so sein!).
Er ist fuer mich ein fremder Mensch! - Und ich lasse auch nicht jeden fremden Menschen in meine Wohung - und dort alleine und tun und lassen was er will. - Und schon gar nicht vertraue ihm diesem!

Wozu also das ganze?
Wegen eines Players auf der Startseite?
Wegen Refinanzierung des Projektes?

Ein Player auf der Website der mich sofort anbruellt ist fuer mich ebenso ein Grund eine Website nicht mehr zu betreten, wie eine Viruswarnung meines Virenscanners! - Beides empfinde ich als absolut unangenehm.
Ueber die Finanzierung eines Projektes sollte der Betreiber bereits vor Start des selbigen Gedanken machen. - Auch laengerfristig! - Wenn es dann am laufen ist und in der Tat so gut ist, dass die Kosten explosionsartig in die Hoehe schiessen, hat dieses Projekt sicherlich auch entsprechend Potential an gute Sponsoren zu kommen, die die Kosten des Projektes gerne tragen (diese finden sich sicherlich nicht bei Virenwarnungen auf der Startseite ein!).

Was gibt es also noch fuer Gruende?
 
AW: Trojaner-Gefahr auf Internetradio-Homepages?

Der Betreiber kann doch garnix dafür? Die meisten Virenscanner sind nur viel zu sensibel und ticken bei kleinsten Anzeichen aus. Warum du darin eine "Frechheit" siehst erschließt sich mir nicht - wie gesagt mit meiner "professionellen" Sicherheitssoftware erhalte ich keine Virenmeldung, nur mit dem Scanner auf meinem PC.
 
AW: Trojaner-Gefahr auf Internetradio-Homepages?

Wir hatten die letzten 3 Wochen ebenfalls ein großes Problem mit Viren
und Trojaner.

Es wurden..

a) alle "Fehlerseiten" durch fehlerhafte* ersetzt
b) alle "index.php" und "index.html" - Seiten durch fehlerhafte* ersetzt

Wir versuchten das Problem damit zu beheben, dass wir alle Passwörter austauschen und die komplette Webpräsenz neu hochladen. Ohne Erfolg!

Es gibt irgendwo wohl eine Sicherheitslücke in PHP oder in einer Datenbank.
Seit wir alle Datenbanken und den dazugehörigen PHP-Code vom WebHosting
genommen haben und nochmals alle Passwörter ausgetauscht gibt es vorerst seit einer Woche keine Störungen mehr.

*Wir hatten keine Trojaner oder Viren auf unserem WebHosting aber es
wurde in den vorhanden Seiten ein Script eingefügt, welches auf Trojaner und Viren - enthaltene Seiten weiterleitet.

Es war übrigens auch immer der Link zum "Google-Fake" Analytics.google.info dabei.

LG
 
AW: Trojaner-Gefahr auf Internetradio-Homepages?

Und waehrend wir noch diskutieren passiert folgendes:

[siehe Anhang, editiert von Studio Rebstock]

Ueber den Grund darf man nun spekulieren, aber nun ist die Website ohne Probleme zu betreten. :D


@Commander:
Wilson schrieb:
Also Known As: TROJ_ASPROX.A [Trend]
Type: Trojan
Infection Length: 40,960 bytes and 61,440 bytes
Weil ich ungerne Trojaner auf meinem PC habe! Auch solche Codes, die sich in Verbindung mit Windows als Trojaner nutzen lassen.

Ich als Nutzer sehe, dass mein Virenscanner eine Meldung anzeigt ueber einen Schadcode, in Verbindung damit ist das eine Frechheit des Betreibers mir gegenueber und er fordert mich auf, seine Website zu verlassen.
 

Anhänge

  • hitradiolu_off.jpg
    hitradiolu_off.jpg
    72,1 KB · Aufrufe: 20
AW: Trojaner-Gefahr auf Internetradio-Homepages?

Guten Morgen zusammen,
ich war ein paar Tage nicht hier und soeben beim durchlesen stosse ich auf diesen Thread.
Hoffentlich poste ich jetzt nicht hier hoffnungslos falsch. Vor ca 1 Jahr hatte ich dieses Phänomen bei Habbofun. Dann habe ich die Betreiber 3 mal in Abständen von 4 Wochen darauf hingewiesen, aber es kam nie eine Reaktion. Logischer Weise habe ich mich von dieser Seite ferngehalten.
Nachdem ich nun diesen Thread gelesen habe ist mir diese Geschichte wieder eingefallen.
Ich bin dann mal eben die Page von Habbofun gegangen und nach ca 1 Jahr erhalte ich die gleiche Trojanerwarnung wie damals.
Nun ja, wenn jemand mit so einer Gleichgültigkeit ein Radio betreibt, darf er sich ned wundern wenn er 60% an Hörern einbüsst.Denn genau das ist im Laufe des letzten Jahres geschehen.

Ich wünsche eine angenehme Woche.

RWE
 
AW: Trojaner-Gefahr auf Internetradio-Homepages?

Das ist interessant - ich habe das gerade mal überprüft und kann das mit dem von dir geposteten Sender nicht reproduzieren.

Die beiden anderen erzeugen bei mir immer noch diese Meldung.

:confused: Grüße, Uli
 
AW: Trojaner-Gefahr auf Internetradio-Homepages?

Auf der IT-Nachrichtenseite heise.de gibt es heute eine interessante News, die auch einige Radioseiten betreffen dürfte. Ich hau das mal hier hin, weils zum Thema einigermaßen passt.

Kritische Lücke in Joomla! wird aktiv ausgenutzt
Die Entwickler des Content Management Systems Joomla! warnen vor einer kritischen Sicherheitslücke in der Passwort-Reset-Funktion, die auch bereits aktiv ausgenutzt wird, um Web-Seiten zu manipulieren.

Vollständigen Artikel lesen
 
Status
Für weitere Antworten geschlossen.
Zurück
Oben