Schädliche Software MALWARE auf Flyduino

wolfes1126 · Mrz 21, 2014

Wollte gerade mit Firefox auf die Flyduino Website.
Da bekam ich aber eine Meldung dass die Site gespeert sei.
Wurde dann auf folgende Site verwiesen:
http://safebrowsing.clients.google....ikopter-Brushless-Motor-Multicopter-T-Motor_1

Ich zitiere mal den Text:

Wie wird flyduino.net momentan eingestuft?

Diese Website ist momentan als verdächtig eingestuft und kann Ihren Computer beschädigen.
Ein Teil dieser Website wurde aufgrund verdächtiger Aktivitäten in den letzten 90 Tagen 4 mal auf die Liste gesetzt.

Was ist passiert, als Google diese Website aufgerufen hat?

In den letzen 90 Tagen haben wir 17 Seiten der Website überprüft. Dabei haben wir auf 12 Seite

festgestellt, dass Malware (schädliche Software) ohne Einwilligung des Nutzers heruntergeladen und installiert wurde. Der letzte Besuch von Google war am 2014-03-21. Verdächtiger Content wurde auf dieser Website zuletzt am 2014-03-21 gefunden.Die Malware umfasst 4 exploit(s), 1 trojan(s).
Malware wird auf 3 Domain(s) gehostet (z. B. z8ery.com/, protectodiez.com.mx/, friendsovercomingadversity.org/).
1 Domain(s) fungiert/fungieren scheinbar als Überträger bei der Verbreitung von Malware an Besucher dieser Website (z. B. z8ery.com/).
Diese Website wurde über 1 Netzwerk(e) gehostet (z. B. AS34011 (DOMAINFACTORY)).

Hat diese Website als Überträger zur Weiterverbreitung von Malware fungiert?

In den letzten 90 Tagen hat flyduino.net scheinbar als Überträger für die Infizierung von 6 Website(s) fungiert, darunter flyduino.com/, flyduino.de/, multicoptershop.net/.

Hat diese Website Malware gehostet?

Nein. Diese Website hat in den letzten 90 Tagen keine Malware gehostet.

Wie ist es zu dieser Einstufung gekommen?

Gelegentlich wird von Dritten bösartiger Code in legitime Websites eingefügt. In diesem Fall wird unsere Warnmeldung angezeigt.

Nächste Schritte:

Zur vorherigen Seite zurück
Falls Sie der Inhaber dieser Website sind, können Sie eine Überprüfung Ihrer Website hinsichtlich Malware beantragen. Benutzen Sie hierzu die Google Webmaster-Tools. Weitere Informationen über den Prüfprozess erhalten Sie in der Webmaster-Tools-Hilfe.

Wenn Flyduino noch nichts davon weiss, kann dann jemand das an die Leute dort weiter geben?

Kann dieses Phänomen sonst noch jemand bestätigen ??

DerCamperHB · Mrz 21, 2014

Jupp, kommt sofort die Warnmeldung
Die soll aber wohl ziemlich schnell kommen, selbst wenn der "Angriff" nur über die Seite geht, wie ein eingebundenes Banner usw.
Die Meldung wieder los werden soll dagegen aufwendiger und länger dauern

jayjay · Mrz 21, 2014

Sind wohl schon am machen.... (Diese Präsenz ist derzeit nicht verfügbar.)

kinderkram · Mrz 21, 2014

Flyduino is angegriffen worden.

Weil die AQ Site dort gehostet wird, hats die gleich mitgerissen.

Gibt uns ein bisschen entspannende Auszeit von dem stressigen Hobby.

MajorC · Mrz 21, 2014

Kein Wunder das die nicht auf meine Supportanfrage antworten.

brandtaucher · Mrz 21, 2014

MajorC hat gesagt.:

Sonst antworten die doch auch nicht. Wo ist jetzt der Unterschied?

christian-06 · Mrz 22, 2014

brandtaucher hat gesagt.:

Also dem kann ich in keiner weise zustimmen, habe schon oft beim Support ne Frage gestellt,
wo ich noch nicht in diversen Forums unterwegs war. Und ich habe immer am nächsten Tag ne Antwort erhalten.
Das evtl. momentan es etwas drunter und drüber gehen dürfte, ist verständlich.
Vieleicht ist ja auch der E-Mail-Server mit betroffen.
Da haben die im Rechenzentrum bestimmt mal wieder nicht alle Server geupdatet, dafür kann flyduino ja nix.

kinderkram · Mrz 22, 2014

Nach ner schlaflosen Nacht sind jetzt wieder alle Installationen online.

Flyduino Shop & Forum, AutoQuad Site & Forum.

Bei den Foren sind wahrscheinlich ein paar Posts futsch, die in der Nacht nach dem Angriff getätigt und vom vorherigen Backup nicht erfasst wurden...

Die Malwaremeldung beim Flyduino Shop erscheint nur im Chrome Browser. Bei Google wurde ein Review beantragt.
Ohnehin war auf der Site keine Malware gehostet, sondern Umleitungen auf Sites mit Malware. Eine direkte Bedrohung ging vom Shop nicht aus.

Norbert

brandtaucher · Mrz 22, 2014

kinderkram hat gesagt.:

Die Meldung erscheint auch im Firefox nach wie vor.

Wie sieht es eigentlich mit unseren vertraulichen Kundendaten aus? Wie sind die geschützt?

axmen · Mrz 22, 2014

Ahoi,
In den Quellcode der Seiten wurde ein wenig Javascript eingefügt mittels dessen man auf Websites weitergeleitet werden soll um dort dann auf tatsächlich infizierte Seite zu stoßen.
Man kann sich das sehr gut ansehen wenn man flyduino mit Firefox mit aktivem Noscript-Addon ansurft und zum Beispiel mal "Wir über uns" anklickt.
Die Mehrzahl solcher Angriffe erfolgt nicht gegen den Webserver direkt, sondern auf Rechner mit denen die Dateien auf dem Webserver verwaltet werden, dort wird auch der Schadcode eingefügt. Diese Rechner können beim Provider stehen oder beim Kunden der den Webspace betreibt. Diese Angriffsart ist recht primitiv und passiert quasi ständig seit der Zeit als (Windows)-Verwaltungstools für Webserver eingeführt wurden....hatte ich persönlich schon auf Websites bei großen Providern und eben auch von deren Rechnern aus.

Es wird also eine Verwaltungsinstanz kompromitiert und dann ohne ansehen der Websiten, einfach in alle Seiten die von dort aus Administriert werden, besonders gerne aber in Startseiten oder Landing-Pages, einfach ein Codeschnipsel eingefügt der die "normalen" Besucher umleiten soll.

Als auf einem Webserver noch 5 Kunden gehostet wurden ging soetwas kaum, seit ein Hypervisor 300 Virtuelle Webserver verwaltet, die jeweils 500 Kundenwebseiten hosten, geht soetwas viel einfacher, da der einzelne Einbruch eben richtig reinhaut.

Jemand der Kundendaten stehlen will, wird kaum die Superalarmglocke Firefox-Chrome-Warnhinweis läuten.

Davon abgesehen halte ich surfen ohne Scriptblocker ohnehin für das gleiche wie autofahren ohne Bremse.

Ich hoffe das Flyduino das Problem schnell lösen kann und dann bitte auch ordentlich über den Schaden informiert. Und ich zum Beispiel habe um meine "Daten" also quasi meine Emailadresse und meine Versandadresse eigentlich keine Angst, meine Adresse hat mein Einwohnermeldeamt schon an alle wichtigen Spammer verkauft...und das ist leider legal.

LG
Axel

Roberto · Mrz 22, 2014

Ist immer noch blockiert (siehe Bild), aber das ist doch mal eine gute Gelegenheit die Produktinfos vom BT modul und mw32 besser/richtiger zu machen. Support beginnt schon mit der Beschreibung! Bzw hält unnötige Anfragen vom Hals.

kinderkram · Mrz 22, 2014

Alles wieder sauber.
Dauert halt, bis die Reviews bei Google durch sind...

Wie schon erwähnt war das ein recht primitiver Angriff mit Umleitungscode. Die Datenbanken sind jedenfalls nicht kompromittiert worden. Nur waren im Zuge der Komplettabschaltung halt alle Subdomains betroffen.
Leider hat es trotz Premiumkundschaft sehr lange gedauert, bis der Provider das Backup eingespielt hatte.
Und dann wars eins, das schon infiziert war...

Deshalb lieber alles manuell gecheckt und bereinigt und Ursachenforschung betrieben - auf Kosten der Uptime.
Zu Schaden gekommen ist wohl niemand durch die Umleitung - jedenfalls wissen wir von niemandem.

Das ganze ist auch nachts ab 4:30 gelaufen und ist kurz danach bei Google und um 7:30 bei den Webmastern aufgeflogen.
Leider hats dann sehr lange gedauert, bis der Hoster reagiert hat...

flyduino · Mrz 22, 2014

Stellungnahme

Flyduino wurde am 21.3 kompromittiert, inzwischen ist alles unter Kontrolle.
Nutzerdaten wurden laut Datenlog nicht entwendet (diese sind zusätzlich verschlüsselt).
Der Schadsoftware ging es um die Eigenverbreitung. Sie nutzte Flyduino als Weiterleitung zur eigentlichen Malware.
Der Schadcode war innerhalb kürzester Zeit isoliert und gelöscht, jedoch dauert die vollständige Restauration einige Zeit, ebenso wie die Entfernung aus der Google Malware-Blockliste.
Wir bedauern die lange Wartezeit für unsere Kunden. Die Abschaltung des Shops war eine reine Vorsichtsmaßnahme.
Es ist nun alles wieder hergestellt, es sollte daher zu keinen weiteren Problemen kommen.

kinderkram · Mrz 22, 2014

Case closed: http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=flyduino.net/

bimmi · Mrz 22, 2014

Oh ich hatte das auch einmal bei einem Kunden. Der hatte fast 20 Webseiten auf seinem Server gehostet mit joomla, typo3, xtcommerce usw... Ich glaube ich musste fast 300 Dateien manuell vom Schadcode befreien. Das ist in base64 gecodeter Rotz den man nicht so leicht fand, da sie den Code hinter ganz vielen Leerzeichen versteckt hatten. Irgendwann ist es einem dann aufgefallen da man mit notepad++ nach rechts scrollen konnte.

Mein Tip: Die infizierten Dateien konnte man anhand des Änderungsdatums sehr leicht identifizieren...

wolfes1126 · Mrz 22, 2014

FRSKY Site wurde auch gehackt... LOL

Man beachte den Lauftext:
http://www.frsky-rc.com/product/pro.php?pro_id=113

bimmi · Mrz 22, 2014

momentan ist in der Hinsicht wirklich viel los... war bestimmt Graupner/Jeti oder so

die wittern zuviel Konkurrenz

kinderkram · Mrz 22, 2014

bimmi hat gesagt.:

Nee, das geht einfacher mit nem Search&Replace Tool über die Dateien. Damit gehts in einem Rutsch.
Meistens beschränkt sich dass auf wenige Snippets, die eindeutig zu identifizieren sind.
Nur so´n kleiner Tipp.

bimmi · Mrz 22, 2014

das habe ich natürlich als erstes ausprobiert, aber leider wurden auf mehrere Seiten gelinkt, 2-3 verschiedene. da blieb mir dann nur noch die manuelle Kontrolle...

Schädliche Software MALWARE auf Flyduino

wolfes1126

Erfahrener Benutzer

DerCamperHB

Erfahrener Benutzer

jayjay

Benutzer

kinderkram

Erfahrener Benutzer

MajorC

Erfahrener Benutzer

brandtaucher

Erfahrener Benutzer

christian-06

Neuer Benutzer

kinderkram

Erfahrener Benutzer

brandtaucher

Erfahrener Benutzer

axmen

Erfahrener Benutzer

Roberto

Erfahrener Benutzer

Anhänge

kinderkram

Erfahrener Benutzer

flyduino

Neuer Benutzer

kinderkram

Erfahrener Benutzer

bimmi

Bruchpilot

wolfes1126

Erfahrener Benutzer

bimmi

Bruchpilot

kinderkram

Erfahrener Benutzer

bimmi

Bruchpilot