Hallo,

wenn ich über Google auf Multimediaxis gehe, werde ich manchmal auf
http://filestore72.info/download.php?id=2d6d75cb weitergeleitet. Habe es auf ein anderen Pc getestet und da werde ich auch manchmal auf die Seite weitergeleitet. Hat jemand ähnliche Probleme?

Bei Google steht auch unter die Multimediaxis Verlinkung "Diese Website wurde möglicherweise gehackt.".

Wollte mich nur vergewissern, dass alles i.O. ist.

Soweit ich das nachvollziehen kann, tritt der Fehler nur über die direkte Google-Suchlisten-Verlinkung auf. Die URL selbst funktioniert, wie sie soll.

EDIT: Jetzt nicht einmal mehr das. Womöglich ein Zuordnungsfehler. Allerdings stört die Anzeige als womöglich gehackte Seite :/

Also bei mir ist alles in Ordnung. Es muss nicht unbedingt sein, dass mmx selber gehackt wurde, sondern dass "nur" ein Server, der Werbung für mmx ausliefert, gehackt worden ist.

Wir haben ein paar updates installiert und konnten den fall jetzt NACH den Updates nicht mehr reproduzieren.
Offenbar war da was korrupt in den alten dateien. Wir haben entsprechend alles einmal komplett ausgetauscht und die Rechte der ordner weiter beschränkt. Sollte irgendeine Funktion nicht mehr klappen wie z.b. Avatare ändern bzw einene Avatare hochladen, dann gebt mir bitte hier kurz bescheid.
Solltet ihr nun verunsichert sein, logt eich aus dem Forum aus, löscht eure Cookies (sucht auch explizit nach den filestore72 um alles dazu zu löschen). Dann löscht die MMX Cookies die noch vorhanden sind und scannt einmal per Virenscanner ob sich ein Virus auf eurem rechner befindet.
Unsere Virenscanner haben keine Probleme angezeigt, aber mehrere scanner sehen mehr als nur 2-3 :)

Wir entschuldigen uns für die Unannehmlichkeiten.

Sieht aus als wäre das Favicon dabei draufgegangen

Schlechte Nachrichten, wenn man bei der Google-Suche Unterseiten (also zum Beispiel Threads oder Beiträge) vom MMX als Suchergebnis bekommt, wird bei einem Klick darauf auch auf dieses Filestore72 verwiesen. Zum Reproduzieren: Sucht mal nach "Tarrior Gildres" (das ist mein TofT-Char) da werden Beiträge aus dem Rollenspielthread angezeigt. Ein Klick darauf leitet mich auch auf diese andere Seite weiter. Kann aber sein, dass die vielleicht nur noch nicht neu indexiert wurden, wenn der Fehler jetzt ne Weile bestand.

Übrigens stimmt das favicon nicht mehr :)

Übrigens stimmt das favicon nicht mehr :)

Das wissen wir (siehe zwei Posts über deinem) und leider hat niemand eine Kopie des Favicons.

Ich hab mal nachgeschaut. Ich hab leider auch nur die Datei, die wir auf FB verwenden, also wo dann noch die drei buchstaben drüber sind.

Das wissen wir (siehe zwei Posts über deinem) und leider hat niemand eine Kopie des Favicons.

Passt das?: 23818 (Die Transparenz müsste man noch vielleicht anpassen)
Etwa 10 sekunden per Google Bilder Suche. Was soll das eigentlich sein, Griechenland und umgebende Inseln?

Die Weiterleitung zur filestore-Seite ist definitiv noch da. Die kommt bei mir zu 100%, wenn ich vorher browser-daten gelöscht habe, dann per google (mit aktiviertem Javascript) nach multimediaxis suche und dort auf www.multimediaxis.de/forums/5-RPG-Atelier oder http://www.multimediaxis.de/ klicke.
Das wird durch Angreifer absichtlich so gemacht, damit Admins das ganze möglichst spät/nicht entdecken. Neuankömmlinge dagegen landen so mit hoher Wahrscheinlichkeit auf filestore.

Das einzige was ich Online darüber finde ist der eine Beitrag im trojaner-board.de
(http://www.trojaner-board.de/133336-filestore72-seite.html)


Das liegt nicht an deinem Rechner, das is ein Exploit in YUI (YUI 2 ? Yahoo! User Interface Library)

Scheint ein altes Problem zu sein, hier hat wer Tipps gegeben:
https://www.vbulletin.com/forum/forum/vbulletin-4/vbulletin-4-questions-problems-and-troubleshooting/4020207-please-help-hacked-vbulletin-redirect-to-filestore72-info

Irgendwie ist der Anhang nicht mehr da, sehe ich grad.
Hier ist nochmal das favicon vom Google Cache. https://dl.dropboxusercontent.com/u/14552680/favicon.png

Danke, Mivey, ich habs mal gespeichert.

Auch danke an die anderen für die Recherche. Die Admins schauen da jetzt nochmal drüber und gucken mal wegen etwaiger Sicherheitslücken bzw. wie sich die am besten stopfen lassen.

So, nachdem ich jetzt nochmal mehrere Stunden damit verbracht habe zu schauen was das FOrum macht wenn man von google kommt, habe ich einige unstimmigkeiten in den Plugins festgestellt und versucht die YUI2 Sicherheitslücken zu fixen. Ich bitte euch das weiter zu beobachten, denn nach einiger zeit probieren funktioniert es nicht mehr, da der "eingeschleuste" code über das Plugin system durch "aktivieren und deaktivieren von plugins" gelöscht wird. Sobald jemand wieder auf diese ominöse seite geleitet wird, bitte ich euch mir das hier oder per PN mitzuteilen. Da wir leider die schwachstellen in dem YUI Framework nicht einfach so killen können indem wir auf neuere versionen upgraden, bleibt uns erstmal nicht über als zu flicken was geht.

Benutzerdaten sind NICHT in gefahr, dieser Hack, erzeugt offenbar nur eine Weiterleitung die getriggert wird wenn man von einer suchmaschine kommt und ein cookie für den letzten besuch einen bestimten wert in der vergangenheit hat. Laut meinem tests werden keine anderen daten übertragen.

Ich entschuldige mich für diese unannehmlichkeiten und hoffe das wir demnächst auf vBulletin5 umsteigen können wo zumindest ein großteil des YUI Frameworks abgeschaft sind und gerade so kritische dinge wie flash dort nicht mehr zugegend sind.

Ich habe die Tage in meinen Bookmarks folgenden Link gefunden: http://www.ingmar-hahnemann.de/index.html (Ich weiß die Seite ist total oll ...)
Der "London Gothic" Button unten verlinkt auf "multimediaxis.NET" über diese Domain landet man auch irgendwo im Nirvana und Kaspersky schlägt auch direkt an.

Gehört die Domain überhaupt (noch) euch?
Die Domain zeigt jedenfalls auf eine komplett andere IP und außem whois wird man auch nicht wirklich schlau.

Hey Xardas,

nein die multimediaxis.NET domain gehört schon seit einigen Jahren nicht mehr zu uns da die zugriffszahlen von dieser Domain recht niedrig waren und es sich daher nicht gelohnt hat zwei domains zu halten wovon eine keinen guten kosten/nutzen-faktor hat. Also bitte nicht über die .net domain versuchen aufs MMX zu gelangen.