THEMA:

Bin ich der Einzige der hier hin und wieder nach



umgeleitet wird? Das passiert mir nur auf dieser Seite, allerdings liest man dass das derzeit auch auf vielen anderen Seiten die Runde macht. Schaden richtet es aber keinen an da es eh bereits vom Browser geblockt wird (zumindest vom Brave Browser), und es passiert auch relativ selten, aber dennoch täglich. Wenn man die Seite danach nochmal aufruft kommt man meistens ganz normal ins Forum, das Skript wird also nicht immer ausgeführt, sondern nach irgendeinem Muster oder Zufallsprinzip.

Wenn ich mit dem ungeschützten Edge Browser auf die Seite komme lande ich nach ein paar in Serie geschalteten Umleitungen auf dieser komischen Seite wo man angeblich bestätigen soll dass man kein Roboter sei. Allerdings gibt es dort gar nix zum bestätigen, das Einzige was man dort machen kann ist den Spammern die Erlaubis für Push-Nachrichten, wahrscheinlich dubiose Werbung, zu erteilen:



Wenn ich das richtig verstehe ist da irgendein Modul eines normalerweise seriösen Drittanbieters von irgendwelchen dubiosen Hackern komprimittiert worden, was jetzt auf jene Seiten die dieses Modul verwenden überschwappt, aber das mögen andere die sich besser mit so was auskennen beurteilen.

Pemrod schrieb:

Bin ich der Einzige der hier hin und wieder nach

...

Bist nicht der Einzige. Mein Browser (Vivaldi mit uBlock Origin) zeigte mir eben auch die Sicherheitswarnung wegen der Umleitung auf die Domain mit Schadcode.

Metoo. Firefox lässt Konfetti regnen und verspricht einen Gewinn, weil man die milliardste Suchanfrage ausgelöst habe

bei mir das gleiche Erscheinungsbild, wie bei gaston.

Mich hat es auch erwischt...
Aber ich trag ja ne "Maske"

Nervig das.

Z.

Ich wäre sehr dafür, dass das jetzt endlich abgestellt wird. Diese Seite zu besuchen ist mittlerweile mit einem Sicherheitsrisiko verbunden. Dass eine permanente Weiterleitung auf suspekte Seiten auch im Sinne der DSGVO verboten ist, halte ich zudem für sehr wahrscheinlich. Dass daran - sehenden Auges! - seit Tagen nichts geändert wird, ist vollkommen unverständlich.

Ich schließe mich Arrakais Aufforderung an.

Thomas und Mustafa sind bereits informiert.
Ich selbst kann das nicht nachvollziehen.
Bei mir hat bis jetzt immer alles ganz normal funktioniert.

badhofer schrieb:

Thomas und Mustafa sind bereits informiert.
Ich selbst kann das nicht nachvollziehen.
Bei mir hat bis jetzt immer alles ganz normal funktioniert.

Es ist mir jetzt ebenfalls auch bei wiedeholten Versuchen nicht mehr passiert. Ob das Zufall ist, weiß ich nicht. Eine kurze Stellungnahme wäre gut.

Gerade eben war es noch der Fall..
LGse Z.

badhofer schrieb:

Bei mir hat bis jetzt immer alles ganz normal funktioniert.

Bei mir auch. Es muss nicht zwingend am Server liegen.

Steinzeit-Astronom schrieb:

badhofer schrieb:

Bei mir hat bis jetzt immer alles ganz normal funktioniert.

Bei mir auch. Es muss nicht zwingend am Server liegen.

Sondern?

Es scheinen ja auch Daten von fremden Domains abgerufen.
(facebook.net, google.com, gstatic.com, cloudflare.com, twitter.com usw.)

Theoretisch könnte der Müll auch darüber injiziert werden.

(Nebenbei erscheint mir das ohne Cookie-Banner mit Abwahlmöglichkeit auch nicht wirklich DSGVO-konform.)

Für wahrscheinlicher halte ich es aber eher, dass sich das Forum irgendwas eingefangen hat. Teilweise sind die so geschickt programmiert, dass es bei Admins und Mods nicht auslöst - selbst wenn man (Cookies & Co. sei dank) nicht angemeldet ist.

Ein innerhalb eines Beitrags eingebetteter Schadcode ist es nicht, denn die Weiterleitung kommt auch schon auf solchen Seiten wie umwelt-wissenschaft.de/forum und umwelt-wissenschaft.de/forum/aktuell

Dass der Fehler nicht auf unseren Computern sondern am Server liegt schließe ich daraus dass auch der Google Übersetzer auf die Malware Warnung weitergeleitet wurde als ich für einen Beitrag auf Stackexchange einen Beitrag von hier auf englisch verlinken wollte.

Leider ist es schwer zu reproduzieren da es nur 1 oder 2 mal am Tag passiert, aber ich werde versuchen die Umleitung über deref.link zu protokollieren. Natürlich passiert zu dem Zeitpunkt wo man's probiert überhaupt nichts, aber falls ich doch noch etwas fange poste ich den Screenshot des Protokolls.

Gerade ist er mir im Firefox vor die Flinte gelaufen, aber diesmal hat der (oder der zusätzliche Adblocker) ihn von selbst geblockt:

Beim nächsten Refresh direkt danach war wieder alles sauber. Das Muster nach dem er sich zeigt oder verbirgt habe ich noch nicht durchschaut, aber ich glaube dass er sich am ehesten beim ersten Laden (nach mehreren Stunden) mit dem jeweiligen Browser zeigt.

Ich werde ab jetzt immer die Entwicklertools offen haben wenn ich hier bin, vielleicht erwische ich ihn dann auch in flagranti bei einer erfolgreichen Umleitung auf die Malware Seite. Auf Chromium basierten Browsern muss man Preserve Log gecheckt haben um die Umleitungen zu fangen, falls sich noch andere auf die Jagd begeben wollen.

Bei mir erscheint vor der Weiterleitung:

Fehler 0

Failed to start the session because headers have already been sent by "/www/htdocs/w0135c2e/www.umwelt-wissenschaft.de/plugins/system/settings/settings.php" at line 33.

Failed to start the session because headers have already been sent by "/www/htdocs/w0135c2e/www.umwelt-wissenschaft.de/plugins/system/settings/settings.php" at line 33.

vor 20 Sekunden

badhofer schrieb:

Thomas und Mustafa sind bereits informiert.

Da liegt das Problem auf jeden Fall in guten Händen.

.
Auch auf facebook und twitter wird der Link zu Urknall, Weltall und das Leben als verdächtig angezeigt.
Das wird dann wahrscheinlich in vielen anderen Bereichen auch so sein.

badhofer schrieb:

Auch auf facebook und twitter wird der Link zu Urknall, Weltall und das Leben als verdächtig angezeigt.

Das wird nicht von Facebook und Twitter sondern der MaAfee Malware die du auf deinem eigenen Computer installiert hast angezeigt.

Das stimmt, denn am Handy zeigt es mir das nicht an. Eigenartigerweise zeigt es das nicht an, wenn ich die Seite am PC direkt aufrufe. Aber das wird wohl auch an meinem PC liegen. Aber, warum wird das überhaupt von McAfee angezeigt? Das muss ja irgendwann von irgendjemanden eingegeben worden sein?

Ich hatte zwar früher schon diverse Fehlermeldungen, auch ein- oder zweimal die Aufforderung von Post #117796 , aber seit Längerem läuft alles rund (Firefox).

heinzendres schrieb:

Failed to start the session because headers have already been sent by "/www/htdocs/w0135c2e/www.umwelt-wissenschaft.de/plugins/system/settings/settings.php" at line 33.

Da liegt ein Fehler in der serverseitigen Sessionverwaltung bzw. Programmierung derselben vor. Wenn man eine Webpage aufruft, wird temporär eine sog. Session für die Kommunikation mit dem Clientcomputer eröffnet. Der Server muss ja "wissen" von welchem Client eine Anfrage kommt, damit er diesem die angeforderte Page servieren kann. Bei fehlerhafter Programmierung kann es passieren, dass die Session-Info verloren geht, was dann so eine Fehlermeldung generiert. => Ein Job für den Web-Entwickler. Ist mir beim Programmieren auch schon vorgekommen.

Allerdings würde man bei einem funktionierenden Server nicht an der Sessionverwaltung rumschrauben, ganz nach dem Motto "never change a running system". Wenn sich also am Server nichts geändert hat, dann ist wohl wirklich eine Malware irgendwo außerhalb am Werk, die sich in die Client-Server-Kommunikation einmischt... die Urheber würde ich dann am ehesten östlich der Ukraine vermuten... immerhin ist ja Krieg in Europa.

Steinzeit-Astronom schrieb:

Wenn sich also am Server nichts geändert hat, dann ist wohl wirklich eine Malware irgendwo außerhalb am Werk, die sich in die Client-Server-Kommunikation einmischt...

Das ergibt keinen Sinn.
Woher sollte der Server wissen das bereits header gesendet wurden? Das muss schon ein Script auf dem Server im selben php prozess gemacht haben das vor settings.php aufgerufen wurde.
In Frage käme bereits eine debug-ausgabe mit echo oder ähnliches in die er vor erzeugen der session gelaufen ist...

Steinzeit-Astronom schrieb:

Allerdings würde man bei einem funktionierenden Server nicht an der Sessionverwaltung rumschrauben, ganz nach dem Motto "never change a running system".

Und Sicherheitslöcher offenhalten? Wie es scheint hat Joomla so einige davon.
(Die Kunena Forensoftware ist ein Joomla-Plugin, ein verbreitetes CMS)

Merilix schrieb:

Steinzeit-Astronom schrieb:

Wenn sich also am Server nichts geändert hat, dann ist wohl wirklich eine Malware irgendwo außerhalb am Werk, die sich in die Client-Server-Kommunikation einmischt...

Das ergibt keinen Sinn.
Woher sollte der Server wissen das bereits header gesendet wurden?

Bin schon eine Weile raus aus dem Job, aber wenn ich mich recht erinnere ist es so, dass ein Session-Objekt erzeugt und die entsprechenden Header an den Client gesendet werden. Wenn der Server danach mit dem Session-Objekt arbeiten will und es Null ist, also nicht mehr existiert, dann "weiß" das Programm, dass die Session kaputt ist und erzeugt sie nicht neu, was ein erneutes Senden der Header erfordern und ggf. in eine Endlosschleife führen würde.

Das kann auch ohne Malware passieren, wenn beim Programmieren nicht alle möglichen Fälle berücksichtigt wurden und das Session-Objekt unter gewissen Umständen verloren geht. Ist mir wie gesagt schon passiert. Aber zum Glück gibt's in einer guten Firma eine Testabteilung, wo sowas entdeckt und dann vom Entwickler nachgebessert wird, bevor ein Produkt zum Kunden gelangt.

Merilix schrieb:

Steinzeit-Astronom schrieb:

Allerdings würde man bei einem funktionierenden Server nicht an der Sessionverwaltung rumschrauben, ganz nach dem Motto "never change a running system".

Und Sicherheitslöcher offenhalten?

Mit bekannten Sicherheitslöchern ist es kein funktionierender Server im von mir gemeinten Sinn. Natürlich würde man die stopfen und dabei zwangsläufig etwas ändern am Server. Wenn sich aber nichts geändert hat (kein Update und nichts) und trotzdem neuerdings vermehrt solche Exceptions geworfen werden (siehe oben), dann liegt eben der Verdacht nahe, dass sich eine Malware über eine unbekannte Sicherheitslücke einmischt.