quäldich-Intern

Einloggen, um einen Kommentar zu verfassen

Spam Problem

• thelonious, 29.07.2021, 22:51 Uhr
  Als ich gerade auf der mobilen Seite den shop anklicken wollte, bin ich dabei auf spam Seiten geleitet worden.
• Jan, 29.07.2021, 22:54 Uhr 29.07.2021, 22:55 Uhr
  Ohje.
  
  Mit welchem Browser? Android, iPhone?
  
  https://shop.quaeldich.de ist korrekt
• alltagsfahrer, 30.07.2021, 08:07 Uhr
  Hallo Jan,
  
  Mit Android 10, Hau mich tot, Chrome und Firefox. Auch auf der Mainpage, dem Forum und der Pässeseite.
  
  Viele Grüsse aus Zug, Fritz
• thelonious, 30.07.2021, 08:56 Uhr
  bei mir mit firefox auf ios 14, auch in den anderen links der navigation.
• Jan, 30.07.2021, 11:37 Uhr auf thelonious
  Gut, danke für den Hinweis.
  
  Das ist nicht lustig. Ich kümmere mich, sobald ich am Laptop bin.
  
  Grüße vom Col de la Loze.
• thelonious, 30.07.2021, 14:31 Uhr
  wird auch quälerei, aber die sorte ohne spaß...
• Jan, 30.07.2021, 15:44 Uhr 30.07.2021, 16:17 Uhr auf thelonious
  Yo, gar kein Spaß.
  
  Col de la Loze hingegen hat Spaß gemacht und eine neue Erkenntnis gebracht, dazu aber gleich an anderer Stelle.
  
  Ich denke, dass ich den kompromittierten Code entfernt habe. Schau mal bitte, ob das Problem noch auftritt.
  
  Jetzt weiter schauen, wie das entstehen konnte...
• thelonious, 30.07.2021, 22:20 Uhr
  ja, scheint for now gefixed zu sein
• stadtzürcher, 27.10.2021, 07:54 Uhr
  hab dasselbe problem aktuell mit iphone.
  
  bei einsteig auf die quäldich-seite beim ersten klick lande ich seit kurzem regelmässig auf irgendwelchen spamseiten.
• Bergziegenmutant, 27.10.2021, 11:03 Uhr 27.10.2021, 11:08 Uhr
  Das Problem habe ich auch immer wieder auf dem Smartphone bei der QD Seite gehabt. Mit Android mit dem Edge Browser - bei Menüanwahl ging es öfters auf eine "herzlichen Glückwunsch" Spamseite.
  
  Jetzt wieder mit Firefox Browser mit Adblocker Add-on bisher nicht mehr passiert.
• Reinhard, 27.10.2021, 11:43 Uhr 27.10.2021, 11:44 Uhr auf Bergziegenmutant
  Stimmt, auf die Glückwunsch-Seite wurde ich auch dieser Tage auf dem Telefon meiner Frau umgeleitet und beschwerte mich gleich, dass sie wohl keinen Adblocker installiert hat. Zog mich dann grummelig wieder ans Laptop zurück. ;)
• Jan, 27.10.2021, 12:41 Uhr auf stadtzürcher
  Danke, ich kümmere mich drum.
  
  Schöne Grüße, Jan
• Jan, 28.10.2021, 14:49 Uhr auf stadtzürcher
  Hallo @stadtzürcher,
  
  kannst du bitte einmal gucken, ob das Problem noch auftaucht? Ich hoffe, ich habe die problematische Stelle jetzt eliminiert.
  
  Damit verhält sich quäldich an der ein- oder anderen Stelle derzeit etwas sonderbar, aber ich hoffe, dass ich keine Hauptfunktionalitäten zerstört habe.
  
  Herzlichen Gruß, Jan
• stadtzürcher, 28.10.2021, 19:41 Uhr 28.10.2021, 19:42 Uhr
  salü jan, danke fürs schnelle reagieren.
  
  auf iphone poppt leider immer noch beim erstmaligen anklicken auf quäldich eine webseite auf, die mir irgendwelche kalenderabonnements hinzufügen möchte. werbung.
  
  gruss tom
• Reinhard, 29.10.2021, 10:46 Uhr auf stadtzürcher
  Gibt es den quaeldich-Kalender endlich im Abonnement? :-)
• Martin K, 29.10.2021, 23:22 Uhr
  bei mir soeben auch wieder Spam nach dem Öffnen des persönlichen Postfachs :-(
  
  https://www.recommendcleanfastsuccessful.
  
  [hier getrennt]
  
  rest/0eeb021d-eea9-48f9-8783-5d1c33c88b13/?btd=dHJrLmVuZW15LWFkdWx0LXNjYXJlZC10aGVyZS54eXo&exptoken=MTYzNTU0MjQ3MDEzOQ%3D%3D&lang=de&r_lang=de&r_okeyword=mediamarkt1000&td=dHJrLm1heWJlLWRpc2N1c3Npb24tZnJpZW5kbHktaW5kZWVkLnh5ei96ZHdkZXE
• alltagsfahrer, 17.11.2021, 20:55 Uhr
  hallo Jan,
  
  Handy auf Betriebsdruck aufpumpen, Code ölen, Android 10 - Beläge einstellen, Chromium einklinken, ins Navi Quaeldich.de eingeben, die Menütaste antippen, Forum antippen und dann erscheint ein POPup mit 999 Glücksspiel. Leider kein Pass
  
  Viele Grüsse aus Zug,
  
  Fritz
• stadtzürcher, 18.11.2021, 10:49 Uhr
  bei mir leider auch noch da, dieses ärgernis. immer beim ersten klick auf die quäldich-webseite popt eine spamseite auf. ist die einzige webseite bei der mir auf dem iphone sowas passiert.
  
  auf dem compi (mac) mit popup blocker ists kein problem, da merk ich nichts von diesem spam.
• Jan, 18.11.2021, 10:57 Uhr auf stadtzürcher
  Unfassbar. Da muss ich einen Profi dran setzen.
  
  Ich kann das nämlich leider in keinem Broser nachvollziehen, weder in Chrome, noch firefox, noch edge, noch Samsung Internet, weder auf Windows noch auf Android wie von Fritz oben gemeldet. Iphone/Mac habe ich nicht zur Verfügung. Ich unternehme jetzt noch einen letzten Anlauf und muss das sonst abgeben. Das geht ja so nicht weiter.
• alltagsfahrer, 18.11.2021, 12:41 Uhr
  Hallo Jan,
  
  ganz vergessen zu erwähnen: ich war gestern nicht bei QD angemeldet. Eventuell macht das einen Unterschied.
  
  Am Labtop (Ubuntu 20.04 und Firefox) hatte ich manchmal zwei mal den Hinweis, dass QD Cookies verwendet. Auch nur wenn ich mich eingeloggt habe.
  
  Viele Grüsse aus Zug,
  
  Fritz
• Martin K, 18.11.2021, 13:56 Uhr
  So konnte ich es auch reproduzieren: nicht angemeldet, nach dem Löschen von Cookies (auf dem Smartphone, Firefox ohne Browser-Addons).
  Ein weiteres Mal trat es erst auf, nachdem ich zusätzlich noch eine neue IP genutzt habe.
• stadtzürcher, 18.11.2021, 17:59 Uhr
  mir passierts bloss auf mobilegeräten. ipad älteres betriebssystem, iphone neuestes os.
  
  auf mac desktopversion (safari, firefox, chrome) hatte ich das problem noch nie.
  
  drücke die daumen dass du es hinkriegst, jan.
• Jan, 19.11.2021, 09:30 Uhr auf stadtzürcher
  Hi Tom,
  
  ich konnte das Problem zwar immer noch nicht reproduzieren, bin aber durch die Beschreibung von dir und Martin zu der Hoffnung gekommen, dass es mit dem Cookie-Consent-Popup zustande kommt. Ich habe diesen jetzt mit einer anderen Lösung ersetzt, die wohl heute die richtige ist (https://github.com/osano/cookieconsent)
  
  Es wäre natürlich toll, wenn dies die Lösung mit sich brächte. Bitte einmal checken.
  
  Danke für deine Geduld,
  
  Jan
• Martin K, 19.11.2021, 10:05 Uhr
  Check mit den von mir genannten Voraussetzungen erfolgreich: Kein Pop-up bislang nach abmelden, Cookie löschen, IP wechseln, wieder anmelden, den Cookies zustimmen ... sieht gut aus.
• Jan, 19.11.2021, 10:10 Uhr auf Martin K
  Ah, das ist eine gute Nachricht!
  Dann hoffe ich und warte noch auf @stadtzürchers Feedback.
  
  Danke!
• stadtzürcher, 19.11.2021, 18:22 Uhr
  passt! kein spam und keine popup mehr.
  
  danke jan und allen ein schönes wochenende.
• Jan, 19.11.2021, 23:22 Uhr auf stadtzürcher
  Na SO ein Glück. VIELEN Dank für die Rückmeldung!
  
  Auch dir ein schönes Wochenende!
• Martin K, 22.11.2021, 13:20 Uhr 22.11.2021, 13:20 Uhr
  heute leider wieder Spam, quasi aus heiterem Himmel, den ich war zwischendurch nicht abgemeldet.
  
  Erst pentrante Popup-Anfragen (immer wieder beim Scrollen durch einen Forumbeitrag) und dann nach Klicken eines Buttons im Menü wurde auf eine Werbeseite umgeleitet, sogar mehrfach mit verschiedenen Zielen ...
• merida, 22.11.2021, 15:28 Uhr
  Hatte ich auch, aber nur via Handy (Android 10),
• thelonious, 24.12.2021, 13:01 Uhr
  Ich habe aktuell wieder Probleme mit Spam-Links in der QD Seite, dieses Mal in der Cookie-akzeptier Schaltfläche.
• Jan, 24.12.2021, 15:13 Uhr auf thelonious
  Ohwe! Danke für die (wenn auch schlechte) Nachricht. Im neuen Jahr setze ich einen Profi dran, in diesem Jahr war keiner mehr zu bekommen.
• thelonious, 24.12.2021, 16:23 Uhr
  Gern geschehen und sorry. Und schöne Feiertage!
• Jan, 10.01.2022, 13:22 Uhr
  Hallo zusammen,
  
  @usrusr hat gestern die Quelle des Spam-Problems identifiziert, aufgrund dessen wir zumindest das Symptom bereinigt haben.
  
  Vorher haben wir schon zwei verdächtige Dateien von unserem System entfernt. Wir beobachten weiter und hoffen, das Problem jetzt dauerhaft eliminiert zu haben. Bitte weiter aufmerksam sein!
  
  Herzlichen Gruß, Jan
• thelonious, 10.01.2022, 13:36 Uhr
  Danke!
• stadtzürcher, 10.01.2022, 19:16 Uhr
  super! auch auf meinem iphone jetzt wieder spamfrei. lg, tom
• stadtzürcher, 11.01.2022, 08:36 Uhr
  wobei, heute morgen dann wieder spam wie zuvor gehabt. beim klicken auf den cookie-akzeptier-button.
• Jan, 11.01.2022, 21:40 Uhr auf stadtzürcher
  Ohjemineh! Nächster Versuch... danke für die Geduld!
• Uwe, 11.01.2022, 22:43 Uhr auf stadtzürcher
  Hallo!
  
  Mal eine dumme Frage meinerseits, was denn da für ein Spam kommt? Ich habe schon mal, dass ich auf dem Smartphone (Android) beim Springen innerhalb der QD-Seite einen "Herzlichen Glückwunsch zur soundsovielten Suche" bekomme. Wird weg geklickt und dann geht es normal weiter. Ich kann aber nicht ausschließen, dass ich mit meinen breiten Wurstefingern irgend etwas falsch bediene. In meinem Alter ist das vielleicht sogar normal...
  
  Viele Grüße, Uwe
• Jan, 11.01.2022, 22:55 Uhr auf Uwe
  Das ist genau das Problem, und die Hintergründe davon sind komplexer als mir lieb sind. Leider finde ich aber auch keinen Profi, der mir dabei helfen kann.
  
  Wenn also jemand eine Idee hat.
  
  Ulf aka usrusr war da jetzt schon eine große Hilfe.
  
  Heute habe ich den ganzen Tag Ursachen geforscht und auch noch eine potentielle gefunden.
• Uwe, 11.01.2022, 23:05 Uhr auf Jan
  Hallo Jan!
  
  Das passiert auch nicht regelmäßig, sondern nur sporadisch. Meistens beim Sprung von der Hauptseite ins Forum. Ich werde das Thema aber von meiner Seite nicht weiter vertiefen, weil ich sowieso keine Ahnung habe.
  
  Viele Grüße, Uwe
• stadtzürcher, 11.01.2022, 23:09 Uhr
  jan, aktuell ists wieder gut bei mir.
  
  uwe, musst einfach sehr aufmerksam beim wegklicken sein. hab einmal falsch geklickt und musste nachher das ipad neu aufsetzen, weil ich die tausende von kalendereinträgen die alle paar minuten aufpoppten nicht mehr wegbekam.
• Uwe, 12.01.2022, 10:43 Uhr auf stadtzürcher
  Hallo!
  
  Wenn, dann kommt das "Glück" als zusätzlicher Tab, den ich schließe und weg ist er (Android). Auf dem Notebook (Win10, Chrome) hatte ich da nie ein Problem.
  
  Trotzdem natürlich danke für deine Antwort / deinen Hinweis ;-)
  
  Viele Grüße, Uwe
• thelonious, 12.01.2022, 11:04 Uhr
  und es ist für QD natürlich kein Zustand, dass irgendwas an der Seite herummanipuliert.
• Jan, 12.01.2022, 16:00 Uhr 12.01.2022, 16:01 Uhr auf thelonious
  So ist es. Ein unerträglicher Zustand.
  
  In der Tat gab es zumindest drei Skripte auf quäldich, die ein Angreifer auf die Seite geschleust bekommen hat. Zumindest eines davon, das ich erst gestern gefunden habe, hatte das Potential, beliebigen Code ausführen zu können. Aber auch hier kein Hinweis auf Aufruf dieser Datei in den Log-Dateien. Der Schaden ist dabei nicht abschätzbar, insbesondere eine Datenbank-Kompromittierung (inklusive Userdaten, aber ohne Passwörter, die wir nicht im Klartext speichern) wäre möglich und somit nicht auszuschließen. Die Art der Ausnutzung lässt zwar darauf schließen, dass hier kein Mensch, sondern ein Bot bekannte Schwachstellen frei zugänglicher Software angezapft hat, sicher ist aber nichts außer die Unsicherheit.
  
  Nun haben wir also die Symptome (webjacking ala Milliardste-Suche) und drei Schadskripte beseitigt, aber es gibt keine Garantie, dass wir alles gefunden haben. Insbesondere ist immer noch das ursprüngliche Eingangstor unbekannt. Mittlerweile läuft auf unserem Server keine Fremdsoftware mehr. Es gibt Indizien, dass das Eingangstor ein alter Adserver (OpenAds oder sein Nachfolger Revive) war.
  
  Ich werde heute den Rest des Tages damit aufbringen, weitere Schadsoftware zu suchen (hoffentlich keine mehr zu finden) und danach die inneren Strukturen aufräumen, damit zukünftige Angriffe übersichtlicher abzuwehren und zu überwachen sind. Ulf hat da schon entsprechende Ideen.
  
  Wenn ich damit fertig bin, werde ich die Kompromittierung auch offiziell machen, dazu bin ich denke ich verpflichtet.
  
  Alles sehr unschön, aber natürlich auch nicht schön zu reden.
  
  Danke auf jeden Fall, dass ihr bis hier so geduldig mit mir wart.

Einloggen, um zu kommentieren