Java-Forum.org gehackt?

Beim Aufruf von Java-Forum.org warnt mich Chrome vor potentieller Malware (siehe Screenshot). Ich würde ja jemanden informieren, aber von meinem Arbeitsrechner möchte ich nicht auf java-forum.org mit der potentiellen Malware klicken. Bis jetzt hatte Google bei solchen Meldungen schon immer recht.

firefox macht da keine probleme… und meine IT hier ist noch nicht hoch sturm gelaufen :wink:

scheint also gut zu sein

Kam auch nur sporadisch und ist mittlerweile verschwunden. Habs mal ins JF gestellt - mal sehen ob jemand reagiert.

Betrachten wir doch mal den Quellcode:
[XML][/XML]
Sieht etwas merkwürdig aus. Eine zufallsgenerierte Domain, die nicht einmal in Google zu finden ist. Und der Frame wird noch versteckt. Ruft man die Domain ohne Pfad auf, kommt eine Apache-Testpage.
Gibt man die URL im Browser ein mit dem Parameter sid=0 wird man zu Google weitergeleitet.
Könnte für Statistiken dienen, aber das wäre etwas zu merkwürdig.

Wird von Firefox mit folgenden Headern aufgerufen + Antwort vom Server:

http://hugosgwsq.com/td/go.php?sid=1

GET /td/go.php?sid=1 HTTP/1.1
Host: hugosgwsq.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Connection: keep-alive
Referer: http://www.java-forum.org/

HTTP/1.1 302 Found
Server: nginx
Date: Mon, 19 Apr 2010 13:55:42 GMT
Content-Type: text/html; charset=Windows-1251
Connection: keep-alive
X-Powered-By: PHP/5.1.6
Set-Cookie: goggle=goggle; expires=Mon, 19-Apr-2010 13:57:22 GMT
Location: /td/got.php?sid=1
Content-Length: 0

Interessant ist auch, das “Content-Length: 0”. Enthält also keinen Inhalt. Cookies sind auch recht merkwürdig.

Bearbeite ich die Header und rufe die Seite ohne Referer auf, kommt komischerweise eine Antwort mit Inhalt:
[XML]

Site relocated here

[/XML]

Aber irgendwelche Scripts enthält die Seite wohl nicht.
Ich denke mal, der Betreiber sollte diesen Unsinn erklären und am besten rausnehmen. Vermutlich hat er eine andere Domain genommen, nachdem die eine schon bei Google gemeldet worden war.
Auszug aus dem WHOIS der alten Domain:

Registrant Contact:
Lyubov Bushmakina
Lyubov Bushmakina (pipe@freenetbox.ru)
ul. Yuria Gagarina d.38 k.2 kv.99
Sankt-Peterburg, Sankt-Peterburg, RU 196105
P: +7.8125540822 F: +7.8125540822

Administrative Contact:
Lyubov Bushmakina
Lyubov Bushmakina (pipe@freenetbox.ru)
ul. Yuria Gagarina d.38 k.2 kv.99
Sankt-Peterburg, Sankt-Peterburg, RU 196105
P: +7.8125540822 F: +7.8125540822

Technical Contact:
Lyubov Bushmakina
Lyubov Bushmakina (pipe@freenetbox.ru)
ul. Yuria Gagarina d.38 k.2 kv.99
Sankt-Peterburg, Sankt-Peterburg, RU 196105
P: +7.8125540822 F: +7.8125540822

Billing Contact:
Lyubov Bushmakina
Lyubov Bushmakina (pipe@freenetbox.ru)
ul. Yuria Gagarina d.38 k.2 kv.99
Sankt-Peterburg, Sankt-Peterburg, RU 196105
P: +7.8125540822 F: +7.8125540822

Administratoren aus Russland.
Das WHOIS der neuen Domain zeigt andere Administratoren an, ist aber auch für Russland registriert.

Gruß,
pcworld

ist das vielleicht nur Google Werbung die scheiße ist?

Sicher nicht. Warum sollte Google auf ihrem WHOIS irgendwelche russischen Administratoren anzeigen lassen? Und vor allem ein leerer iframe?
GoogleAdsense-Code wird sicherlich nicht mit zufallsgenerierten Domains eingebunden (und schon gar nicht nutzt Google PHP)! Und wenn ich mich nicht irre, wird für GoogleAdsense sowieso ein JavaScript benutzt (Vermutung).

Gruß,
pcworld

ne ich meine kan das iframe nicht von ner Werbung sein?

Beim JF Kann man natürlich nicht ausschließen das die gehackt sind :wink:

Glaube ich nicht, weil das Ding gibt ja nichts aus. Und sonst macht diese komische Domain ja nichts.

Gruß,
pcworld

och wer weiß was es alles für komische Lücken in Browsern gibt und was die “bösen” Jungs so vorhaben

Stimmt, müsste man mal mit mehreren User-Agents ausprobieren… :smiley:
Oder die wollen einfach, dass die User sich dran gewöhnen, und irgendwann ändert sich der Code :wink:

Gruß,
pcworld

ja oder austesten wie lange die Browser wohl brauchen ehe sie reagieren

Bin mal gespannt, wie lange der iframe da noch rumirrt…

Gruß,
pcworld

Weil der Admin vom java-forum.org Russe ist? Zufall vielleicht… Aber trotzdem interessant. Vielleicht hat er noch paar Kumpels und so… :wink:

Hab bestimmt ca. 10 Sekunden gebraucht, um zu blicken, wer den letzten Post geschrieben hat…
Aber naja, an dein neues Avatar wird man sich gewöhnen! :smiley:

Gruß,
pcworld

Das ist mein höchstpersönlicher Hund!

Ich dachte, das bist du, bei Vollmond :smiley:

du glaubst doch das jango sich in so was kleines verwandelt :wink:

@pcworld

Krasse Recherche :smiley:

[QUOTE=pcworld]Hab bestimmt ca. 10 Sekunden gebraucht, um zu blicken, wer den letzten Post geschrieben hat…
Aber naja, an dein neues Avatar wird man sich gewöhnen! :smiley:

Gruß,
pcworld[/QUOTE]

Haha, dito :smiley:

genial … super Belustigung so früh am morgen :wink:

Belustigung? Das ist die traurige Realität :smiley:

So…
Haben wir uns nun genug auf meine Kosten amüsiert? :grr:
(Bei Vollmond tauschen wir die Rollen - dann kocht und putzt der Hund)