Web Attack: Explout Toolkit Website 4

[Peter Klett]

Hallo,

wenn ich atnotes aufrufe, bekomme ich seit heute regelmäßig von Norton einen Hinweis, dass ein Eindringungsversuch blockiert wurde (keine Ahnung, wie das auf deutsch heißt, bekomme die Meldung auf norwegisch).

Als Angreifer-URL wird diese ausgewiesen:

ads.h1429074.stratoserver.net/www/delivery/ajs.php?zoneid=2&cb=27978780352&charset=iso-8859-1&loc=http://atnotes.de/index.php

Weiß jemand, was das ist? Ist das irgendetwas, das Ihr abstellen könnt? Oder ist da bei mir etwas faul?

Vielen Dank schon einmal

[Axel]

Hi,

ich bekomme keine Meldung. Bei mir läuft alles normal und ich setze zum Schutz auch auf Norton Internet Security 2013 (Version 20.2.0.19).

Nur wenn ich die angegebene URL (ads....) direkt aufrufe, bekomme ich diese Meldung.

Axel
 

[eknori]

hinter der URL verbirgt sich folgender Code

sieht mir nicht böse aus. Obwohl, bei Google weiss man nie ...

EDIT: Code entfernt. Endlos lange Zeile ...

[Peter Klett]

Danke für Eure Antworten. Ich frage mich allerdings, woher dieser Aufruf kommt, denn ich rufe natürlich nur http://atnotes.de/index.php auf.

Hängt das mit diesen komischen Google-Reklamen zusammen, die mir immer passend zu irgendwelchen vorigen Aktionen eine Werbung einblenden?

Buche ich einen Flug, erhalte ich kurz danach in atnotes eine Reklame von wideroe (denn dort buche ich in der Regel), buche ich ein Hotel, bekomme ich irgendwelche lokalen Reklamen aus der Umgebung des Hotels. Wirklich witzig finde ich das eigentlich nicht ...

EDIT: Die Reklamen sind übrigens weg, sollte Norton mich vor diesem Kram schützen? Wäre nicht das Schlechteste

[Hoshee]

Juhuu,

das ist das Script unseres AdServer, über den wir die Werbebanner steuern.

Da steckt nichts böses drin, ausser einem Clicktracking.

Viele Grüße ...

Hoshee

[Peter Klett]

Vielen Dank für die Info,

habe Norton nun "gesagt", dass er mich nicht mehr darauf hinweisen muss.

Der Reklamebanner ist bei mir jetzt weg, was mich persönlich nicht stört, aber vielleicht irgendwann einmal die Sponsoren.

Ich wünsche einen Guten Rutsch!

[Bastel123]

Mein Norton schlägt wieder Alarm.

Gruß

Sebastian

[pram]

Ich bekomme diese Meldung auch

[Axel]

Ich hab' keine Probleme damit. Weder zu Hause noch im Büro und in beiden Fällen Symantec als Virenscanner eingesetzt.

Im Büro setzen wir Symantec Endpoint Protection ein und zu Hause habe ich Norton Internet Security 2013 im Einsatz.

Axel
 

[pram]

Mit Symantec Endpoint Protection (Version 11.0) reproduzierbar.
Aber nur wenn im Firefox AdBlockPlus deaktiviert / deinstalliert ist.

Scheint wohl wirklich irgendein Adserver-Script zu sein.
Kann aber auch gut ohne Werbung leben

Gruß
Roland

[pram]

Hallo, ich möchte das Thema nochmal kurz aufrollen, muss aber im Vorfeld gleich sagen, dass ich nicht weiß, welches Werbesystem eingesetzt wird.
Aber könnte es sein, dass an der ganzen Sache nicht doch was dran ist:
http://www.heise.de/newsticker/meldung/BSI-warnt-vor-Schadcode-von-Werbe-Servern-1787511.html

Besonders hellhörig wurde ich bei der in diesem Beitrag erwähnten URL
http://www.heise.de/security/news/foren/S-Wir-hatten-auch-Meldungen-zu-3-Server/forum-247151/msg-23003189/read/
sie verweist auf "lotuscars.com"

Ich denke mal dass der Werbeserver ja auch ein Benutzerprofil hat und Google-AdWords etc "anzapft" um so passend zugeschnittene Werbung einblendet.
Könnte es sein, dass genau bei mir diese Werbung eingeblendet wurde (ich interessiere mich nunmal für Autos und Notes)

Gruß
Roland

[Hoshee]

Ahoi,

ja, wir nutzen OpenX, aber das System ist gepatcht.
Wir "zapfen" AdSense nicht an, sondern reichen das Google-Script einfach weiter.

Viele Grüße ...

Hoshee