Trigami.com und Blogs mit Trigami Script gesperrt + mögliche Ursache
Datum 02.08.2010 | Kategorien Internet, SicherheitEs verwunderte mich heute schon sehr, als mir David netterweise einen Screenshot schickte, in dem elexpress.de durch den Google Chrome Browser blockiert wurde, weil elexpress.de angeblich Inhalte von s.trigami.com enthalten würde.
Nach ersten Analysen lag die Blockierung an dem Trigami Statistikscript, welches vor jedem Reviewinhalt eingebaut werden muss.
Warnung: Durch das Aufrufen dieser Website wird Ihr Computer möglicherweise beschädigt!
Diese Webseite unter www.elexpress.de enthält Elemente der Webseite s.trigami.com, die anscheinend Malware hostet, also Software, die den Computer beschädigen oder anderweitig ohne Ihre Zustimmung agieren kann. Schon der Besuch einer Webseite, die Malware enthält, kann den Computer infizieren.
Als ich dann trigami.com im Firefox direkt aufrufen wollte, kam nun auch ein entsprechender Hinweis im Firefox:
Als attackierend gemeldete Webseite!
Die Webseite auf trigami.com wurde als attackierende Seite gemeldet und auf Grund Ihrer Sicherheitseinstellungen blockiert.
Nun bemühte ich Onkel Google, wurde bei eisy fündig und konnte feststellen, dass ich nicht allein mit der Problematik war. Nachdem dort unter anderem auch die späte Kommunikation mit den Kunden seitens Trigami angesprochen wurde, hab ich den Trigami Twitter Account besucht um aktuelle Informationen zu dieser Thematik zu finden und wurde fündig:
Nutzt Trigami.com zur Statistikermittlung etwa den Openx Adserver, der erst kürzlich von Angreifern zur massenhaften Malwareverbreitung genutzt wurde?
Aktuell beobachtet das Bürger-CERT eine Häufung von kompromittierten Werbebannern auf deutschen Webseiten. Diese Werbebanner liefern ein IFRAME aus, mit dem Schadcode von einem Server nachgeladen wird. Die Kompromittierung betrifft dabei nicht die Webseite, welche das Werbebanner anzeigt, sondern den Ad-Server von dem das Werbebanner nachgeladen wird. Betroffen sind daher auch Werbebanner auf vertrauenswürdigen Webseiten. Insbesondere nutzt der Schadcode bereits geschlossene Schwachstellen in Java und Adobe-Reader sowie eine Schwachstelle im Windows-Hilfe-System, die mit dem Microsoft Patch-Day vom 13. Juli 2010 geschlossen wurde.
Quelle: Bürger-CERT
Somit besteht also durchaus die Möglichkeit, dass sich selbst Anwender durch das schädliche Iframe infizierten, obwohl diese in letzter Zeit nur sehr seriöse Webseiten besucht hatten, die jedoch Openx als Adserver im Einsatz hatten, der durch eine Sicherheitslücke zum Einbinden einer schädlichen Webseite mittels eines Iframes ausgenutzt werden konnte.
Montag, 2. August 2010 / 20.00 Uhr
Liebe Blogger
Am letzten Samstag wurde unseren AdServer zum Opfer eines Hackerangriffs. Dabei wurde schadhafter Code integriert, welcher mit unseren Werbebannern im Internet verteilt wurde. Als Folge davon, haben bei Google die „Alarmglocken“ geläutet und http://www.trigami.com wurde auf die Schwarze Liste gesetzt, was wiederum zur Folge hatte, dass alle Surfer, die mit FireFox und anderen Browsern auf unsere Seite kamen, mit einer Sicherheitswarnung konfrontiert wurden (ausgenommen Benutzer des Internet Explorers).
Leider haben wir erst heute Montag früh davon Kenntnis erlangt, obwohl die Blogosphäre schon das ganze Wochenende darüber berichtet hat. Durch diverse Ferienabwesenheiten und dem Schweizer Nationalfeiertag, welcher just auch an diesem Wochenende stattfand, konnten wir nicht früher reagieren. Wir bitte Euch darum an dieser Stelle ausdrücklich um Entschuldigung.
Da die Sicherheitslücke in unserem AdServer nicht zu 100% geschlossen werden konnte, haben wir uns entschieden, den Server vom Netz zu nehmen. D.H. es werden im Moment keine Banner mehr ausgeliefert. Vereinzelt kann dies bedeuten, dass auf den entsprechenden Seiten – anstatt der Banner – eine Fehlermeldung „Objekt nicht gefunden“ angezeigt wird. Aktuell sind wir daran, die betroffenen Seitenbetreiber persönlich zu kontaktieren.
Bei Google haben wir die nötigen Schritte bereits heute Vormittag um 10 Uhr eingeleitet, damit wir wieder freigeschalten werden. Leider ist dies bis zum jetzigen Zeitpunkt noch nicht erfolgt, wir rechnen aber jeden Moment damit.
Was bedeutet dies nun für Dich als Blogger:
Auch einige Blogs wurden übers Wochenende auf die Schwarze Liste gesetzt, da diese Banner oder Beiträge von uns Publiziert haben und durch die Verlinkung auf unsere Seiten, quasi den schlechten „Ruf“ der Schwarzen Liste mit geerbt haben. Nach unserem Kenntnisstand, sind aber mittlerweile alle Blogs wieder „Normal“ erreichbar. Zur Sicherheit überprüft bitte unbedingt Euren Blog mit dem FireFox. Solltet Ihr trotzdem Bedenken haben und lieber abwarten wollen, bis alles wieder „normal“ läuft, ist es Euch freigestellt, die Trigami Blogbeiträge zwischenzeitlich auf Entwurf oder Privat zu setzten. Selbstverständlich ohne Folgen für Euch.
Zwischenzeitlich haben uns viele Beiträge und E-Mails erreicht, bitte habt Verständnis dafür, dass wir nicht sofort alle beantworten können.
Euer Trigami-Team
PS: Den aktuellen Stand könnt Ihr jeweils über unseren Tweet oder Blog erfahren (Zugang mit IEX geht).
[...] momworx | Angis Blog | oshelpdesk | elexpress | wemaflo | alterfalter Dieser Beitrag wurde von admin geschrieben und am 1. August 2010, um [...]
Seltsam naive Grundeinstellung. Wir sind Trigami, wir rechnen damit, schnell und sauber wieder online zu sein. Und nun? Tag 5 “Als attackierend gemeldete Webseite!”. Wie lange noch?