Seite von 321 bei mir gehäckt ?

Lupolux

Ensign
Dabei seit
Dez. 2006
Beiträge
179
Servus an Alle,
folgendes Problem ich habe: gestern im Netz öffnete sich ständig ein Fenster, das diesem Sicherheitszertifikat nicht vertraut wird.....Empfehlung die Seite abzulehnen ...usw.Ich benutze Firefox mit aut. Aktualisierung, also denke ich die aktuellste Version zu haben. KIS von CBE 10 auch mit autom. Aktualisierung. Das Fenster kam bei einigen Seiten, die ich sonst eigentlich auch besuche und sonst war nix. Heute nun, bis jetzt kein eingeblendetes Fenster bis jetzt, Kaspersky durchlaufen lassen = nix, Malwarebytes-Antimaleware durchlaufen lassen = auch nix gefunden.
Dann will ich bei ebay rein...und meine in der Lesezeichenleiste abgespeicherte URL sieht da auf einmal anders aus, Kaspersky bringt mir ein Fenster: Datenstromüberwachung: Firefox.exe:Authentizität von secureinclude.ebaystatic.com als sicherer hersteller kann nicht bestätigt werden. Mögliche Fehlerursachen: - Unbekannte Zertifizierungsstelle, -der Server wurde fehlerhaft konfiguriert, -Sie stellen eine Verbindung zum Server eines Angreifers her....:mad:
Remoteadresse:95.100.48.166
Remoteport: 443

Zertifikat : akzeptieren , ablehnen , anzeigen


gebe ich die Seite manuell, also die Startseite von 321 ein, komme ich auch dorthin, jedenfalls sieht die Seite auf dem Rechner meiner Atzen genau so aus.
Gehe ich dann auf einloggen, also mein ebay kommt alles nur Schrift ohne die üblichen Bildchen der Seite mit der Aufforderung sich doch einzuloggen
http://666kb.com/i/bobnznbjokqgkvy76.jpg

Wer weis Rat? Da ist doch was faul oder? Wurde die Seite bei mir gehäckt?

Helft mir bitte:heul:

Gruß Lutz
 

Spi12

Commander
Dabei seit
Nov. 2006
Beiträge
2.084
Da scheint sich jemand zwischen deine Kommunikations gehängt zu haben.

Schimpft sich Man-in-the-middle (Phishing) Angriff.
http://sicherheitskultur.at/man_in_the-middle.htm

Das würde auch erklären, wwarum die ganze Zeit diese Fehlermeldungen mit "...diesem Sicherheitszertifikat wird nicht vertraut..." kommt.

Ich hoffe, du hast dich dann nicht trotzdem über diesen Rechner angemeldet?
Falls ja ==> schnellstmöglich alle Passwörter von einem sauberen PC aus ändern.

Weiter: http://www.computerbetrug.de/sicher...-betrug-mit-daten/was-tun-als-phishing-opfer/

Dann hier nochmal lesen, was du mitm Rechner am besten machst:
http://www.supernature-forum.de/sic...rechner-tan-nummern-phishing-attacke-tun.html

Tolles Board für sowas: http://www.trojaner-board.de/

MfG
 
Zuletzt bearbeitet:

XRJPK

Lieutenant
Dabei seit
Jan. 2009
Beiträge
782
Also dein BIld sagt erstmal nicht viel aus, da war wohl nur irgendwie das CSS zu langsam seite nochmals aktualisieren wäre ne idee.
ansosten bei Firefox mal die gesamte Ebay Chronik löschen [Extras\Neuste Chronik Löschen\Alles - Da eventuell die passwörter o.ä. behalten, ABER Cache, Cookies und Logins auf alle fälle weg ]

Edit: Wenn das alles so bleibt mit den fehlenden Designs siehe über mir :D
MfG
 
Zuletzt bearbeitet:

DasBoeseLebt

Lieutenant
Dabei seit
Jan. 2010
Beiträge
686
Weil wichtige Passwörter verlieren Geld kosten kann(ebay, Amazon,..) bzw. Ärger verursacht, würde ich einfach mal das System neu aufsetzen, dann bist du 100% auf der sicheren Seite,..dauert ja auch nur max 2Stunden ...wenn du allerdings irgendwie anders abgefangen wirst, dann hilft dir auch das nicht(z.B gehst du über einen andern PC ins internet oder so(LAN) )...
 
B

Bemme90

Gast
Ist zwar Unwahrscheinlich, aber ist deine Systemzeit richtig eingestellt?

Durch ein Biosreset war mal meine Systemzeit auch zurückgesetzt (auf 01.01.2002).
Dadurch konnte ich keine Seiten mehr öffnen, weil das Zertifikat abgelaufen war.

Nach der Umstellung auf 2010 waren die Zertifikate wieder aktuell...
 

Lupolux

Ensign
Ersteller dieses Themas
Dabei seit
Dez. 2006
Beiträge
179
Ist zwar Unwahrscheinlich, aber ist deine Systemzeit richtig eingestellt
Servus
wie meinst du das?Sorry, bin vielleicht nicht so firm, also in der Taskleiste steht bei mir das richtige Datum drin. Im Bild vom ersten Thread stimmts auch.

Grus Lutz
Ergänzung ()

Ich würde neu installieren.
Ach du je...:freak:
Servus,
sorry, da hab ich wohl mich vor lauter schreiberei was vergessen:

ich meinte, das Bild auf dem Rechner meiner Atzen:baby_alt:...
sieht genau so aus wie immer
sorry
also dort läuft alles.
Spyboot hatte zwar was gefunden...Rechnerneustart
321 kommt aber immer noch nicht wie es soll

Lese mich nochmal beim trojanerbord schlau...mal sehen

Gruß
 

Scheinweltname

Lt. Commander
Dabei seit
Jan. 2008
Beiträge
1.743
Die IP/ Remote-Adresse stammt von Akamai; es ist sogar eine von denen, über die auch das Windows Update läuft (Akamai hostet quasi alles im Netz, das von den "Großen" der IT-Industrie stammt, auch Ebay). "secureinclude.ebaystatic.com" gehört ebenfalls zu Akamai. Und der Port 443 ist sicher. Darüber greift dich niemand an.

Guck mal im Bios deines Rechners, nachdem er länger vom Netz getrennt war, ob da dann die richtige Uhrzeit + das richtige Datum steht. Wenn nicht: BIOS/ CMOS-Batterie leer!

Guck mal unter Systemsteuerung -> Datum und Uhrzeit nach eben Datum und Uhrzeit.

Angeblich ungültige Zertifikate sind - gerade bei seriösen Seiten - quasi immer auf falsche Systemzeiteinstellungen zurückzuführen: Wenn ein Zertifikat nur für den Zeitraum 1.10.2010 bis 1.10.2011 gültig ist, dann würde eine falsche Systemzeit (z.B. 1.1.2010) dazu führen, dass dein Rechner (oder Firefox) sagt, dass das Zertifikat (noch) nicht gültig sei.


EDIT 1: Ich sehe gerade, dass du die Kaspersky CBE-Version benutzt. Vielleicht hast du da die Option "Sichere Verbindungen untersuchen" (oder wie es dort genau heißt) aktiviert. Die Option müsste sich irgendwo finden bei Einstellungen -> (Erweiterte Optionen) -> Netzwerk. Kann man getrost ausschalten; auch weil sie sehr gerne zu Problemen bei Zertifikaten führt.

EDIT 2: Es gibt auch manchmal einfach Fälle, da haben Server-Admins geschlampt und versuchen ein Zertifikat für Webseite https.//xy.com auch auf der deutschen Version https.//xy.de zu nutzen. Da schreit dann Firefox auch auf (ich meine, das sogar mal auf einer Microsoft-Seite erlebt zu haben ...).

EDIT 3: Sind die Zertifikat-Einstellungen im Firefox verändert worden? (Extras -> Einstellungen -> Erweitert -> Verschlüsselung. Wurde vielleicht etwas an den Validierungsoptionen verändert?).

Bevor du den Rechner neu aufsetzt, würde ich erstmal
  • die Schuld bei Kaspersky suchen ;) (siehe EDIT 1)
  • Die Seite mal mit dem Internet Explorer aufrufen (Fehler beim Firefox ausschließen)
  • den Firefox (samt Profilen, aber vorher sichern!) deinstallieren, neuinstallieren und es dann nochmal versuchen

EDIT 4: Was hatte Spybot denn gefunden? Je nach Schweregrad dieses Fundes (oder reden wir bloß von den üblichen Tracking Cookies?) lohnt sich vielleicht unabhängig von dem Zertifikat-Problem eine Neuinstallation.
 
Zuletzt bearbeitet:

Lupolux

Ensign
Ersteller dieses Themas
Dabei seit
Dez. 2006
Beiträge
179
Guck mal im Bios deines Rechners, nachdem er länger vom Netz getrennt war, ob da dann die richtige Uhrzeit + das richtige Datum steht. Wenn nicht: BIOS/ CMOS-Batterie leer!
Guck mal unter Systemsteuerung -> Datum und Uhrzeit nach eben Datum und Uhrzeit.
Servus,
Rechner war immer am Netz, also Strom. Den Schalter hinten am Rechner schalte ich eigentlich nie aus.
Uhrzeit im Rechner und auch im Bios stimmen.
EDIT 1: Ich sehe gerade, dass du die Kaspersky CBE-Version benutzt. Vielleicht hast du da die Option "Sichere Verbindungen untersuchen" (oder wie es dort genau heißt) aktiviert. Die Option müsste sich irgendwo finden bei Einstellungen -> (Erweiterte Optionen) -> Netzwerk. Kann man getrost ausschalten; auch weil sie sehr gerne zu Problemen bei Zertifikaten führt.
Oh mann, bestimmt fünf Minuten gesucht.....und gefunden:daumen:
heisst: "Geschützte Verbindungen untersuchen" egal hab nur mal kurz bei 321 reingeschaut und.......keine nervige Warnung und die Seite sieht wieder aus wie immer, jedenfalls bei mein 321: einloggen
das dieser Haken solch ein Aufruhr bringt.....:confused_alt::rolleyes::mad::kotz::volllol:
jedenfalls bei mir
versteh abba nu trotzdem nicht, wo kommt dann diese Seite her, die auf dem Bild zu sehen ist:confused_alt:
Zum Testen im IE bin ich garnicht gekommen, weil ich denke , das es das war.
Im Firefox steht der Haken bei SSL und TLS, Zertifikate habe ich auf "automatisch eins auswählen gesetzt.
Spybot hatte eben nur die Tracking Cockies und noch ein paar Temp Dateien gefunden,
HijackThis hatte nix verdächtiges gefunden, GMER fand nix und ComboFix auch nicht.
Da ich des englischen da nix so mächtig bin, ist das immer so'n Problem die richtigen Einstellungen zu finden. Aber im Trojaner-board.de gibts super Anleitungen dazu, so wie hier natürlich
So ok, bin erst mal wieder happy, was geschafft zu haben, bei dem Wetter nicht draussen gewesen zu sein und meine Oberwelle:hammer_alt: kann auch wieder an den Rechner spielen.

Herzlichen Dank nochmal an alle für eure Tips

Gruß Lutz
 

Scheinweltname

Lt. Commander
Dabei seit
Jan. 2008
Beiträge
1.743
versteh abba nu trotzdem nicht, wo kommt dann diese Seite her, die auf dem Bild zu sehen ist:confused_alt:
Wenn ich raten müsste (was ich tue ;) ), dann würde ich sagen: Auf der Seite wurden Inhalte von mehreren Servern geladen. Nur bestimmte Teile stammten von denjenigen Servern, die wegen der Kaspersky-Einstellungen blockiert wurden. Andere Inhalte konnten hingegen geladen werden, weil nicht von Kaspersky betroffen, weil nicht per https, sondern "nur" http (das sagt auch die Firefox-Sicherheitswarnung in Screenshot 1).

EDIT: *Mir selbst auf die Schulter klopf* bin ich gut! ;)

Hab das Szenario mal nachgestellt: Den Port 443 für die IP-Adresse hinter "secureinclude.ebaystatic.com" (der Einfachheit halber 2.19.0.0/16) per Firewall blockiert. Und was war die Folge: Der gleiche Login-Bildschirm wie bei dir :D (siehe Screenshot 2)
 

Anhänge

Zuletzt bearbeitet:

gdfs

Ensign
Dabei seit
Apr. 2010
Beiträge
166
Oh mann, bestimmt fünf Minuten gesucht.....und gefunden:daumen:
heisst: "Geschützte Verbindungen untersuchen" egal hab nur mal kurz bei 321 reingeschaut und.......keine nervige Warnung und die Seite sieht wieder aus wie immer, jedenfalls bei mein 321: einloggen
das dieser Haken solch ein Aufruhr bringt.....:confused_alt::rolleyes::mad::kotz::volllol:
diese funktion ist aber von haus aus deaktiviert und es steht auch extra ein warnhinweis dabei, wo auf eventuell auftretende probleme hingewiesen wird!
 

Anhänge

Top