… spiele seit ca. 2 Jahre ein Browsergame welches mir sehr Spaß macht. Auf der Browsergame-Homepage befinden sich Vote-Links, auf die man klicken kann um kleine spezial-Dinge zu erhalten. Es sind an der zahl in etwa 15 Buttons die man nacheinander durchklicken kann. Nun ist folgendes passiert: Seid einigen Monaten trägt einer dieser Buttons einen Trojaner in sich BKA-Trojaner den ich mir schon 2 mal eingefangen habe Ich habe nun ein gutes Virenpogramm welches diesen abblockt - mein vorheriges wahr wohl zu langsam. Daraufhin habe ich im Forum des Browsergames darauf hingewiesen das es einen Trojaner gibtEs haben sich noch andere dazu gemeldet, woraufhin der Admin fragte wo er diesen finde Admin vom vom Spiel. Ich habe das verseuchte Link im Forum gepostet. ca. 1-2 Wochen später wurde das Forum gelöscht mit der Begrundung das irgend ein Idi das Forum mit einem Rootkit plattgebügelt hat. Dies ist jetzt ca. eine Woche her und die Spieler im Spiel wurden weder über einen Trojaner informiert, noch wurde der verseuchte Button herausgenommen. Nun zu meinen Fragen: 1. Hätte der Admin das verseuchte Link nicht einfach aus dem Forum löschen können als gleich das ganze Forum zu löschen und mich dafür verantwortlich zu machen? 2. In wie fern ist es Fahrlässig wenn er den verseuchten Button nicht von der Browsergame-Seite entfernt?
Moin,
erstmal ist ein Trojaner und ein RootKit zwei unterschiedliche Dinge. Wer das RootKit verwendet hat ist fraglich. Google mal nach RootKit und schau was Wikipedia dazu schreibt.
2. So ein Trojaner ist manchmal nicht so leicht zu finden. Auch wird da der Spiele-Admin wenig ausrichten können, sondern da sollte der System-Admin ran.
Natürlich wird ein Admin wegen, sorry, eine Nachricht oder ein paar Posts im Forum nicht gleich die große Keule hervor holen. Z. B. wenn ein Game von 100.000 Usern genutzt wird dann werden 100 User mit Virus schon mal nicht ernst genommen. Unbefriedigent, aber ist leider so. Kurz mach Dir keine Sorgen, Du bis nicht Schuld das, daß Forum offline ist.
Viele Grüße!
Die Genaue Mail des Admins war:
leider hat ein Schlauli das Forum mit nem Rootkit platt gebügelt. Der Server ist jetzt abgeschaltet und um alles wieder neu zu installieren etc… muß ich nach ******* fahren. Leider habe ich momentan keine Zeot dafür, deswegen wird das Forum die nächsten Monate offline bleiben bis ich mal wieder runter komme. Ich Danke für das Verständnis.
Ich mache jeden Tag wieder meine 15 Votes, und jedesmal meckert mein Virenpogramm an der selben stelle. Das Link an der stelle hatte ich im Forum gepostet. Das Spiel hat in etwa 100 Spieler - wenn überhaupt, und es gibt auch nur einen Admin für alles. Muss der Admin nicht dafür sorgen das keine verseuchten Links auf seiner HP sind?
Hallo RuM23,
Eines vorab: Wenn Du Deine Beiträge gelegentlich mit einem Zeilenumbruch würzen würdest, wäre das viel besser zu lesen…
[15 Vote-Buttons]
Ich weiß ja nicht, um welche Seite es hier konkret geht, aber ich könnte mir durchaus vorstellen, dass durch jeden Klick auf einen Vote-Button etwas von einem „fremden“ Server geladen wird, für das der Admin der Browser-Spiel-Webseite dann 0.001 Cent Provision bekommt, und dafür dann dem User (Dir) eine Goodie in seinem Spiel freischaltet.
In diesem Falle wäre die Malware noch nicht mal auf dem Server des Browser-Spiel-Betreibers, sondern auf irgendeinem Mitglied der verlinkten Werbe-Server (die können sogar „reih-um“ wechseln …) Der Spiele-Site-Admin kann dann an der Malware gar nichts ausrichten, außer vielleicht sein Spiel zu schließen, denn über den Contet von „fremden“ Servern erzeugt er seine (einzigen) Einnahmen, und ohne Einnahmen kein Spiele-Server „for free“.
Denkbar wäre aus (Du schreibst, dass Dein Rechner früher mal infiziert war), dass damals ein Eintrag in Deiner lokalen „hosts“ Datei vorgenommen wurde, was dazu führt, dass der Aufruf bestimmter Webseiten nicht über den DNS läuft (der aus www.google.de z.B. die IP-Adresse 173.194.69.94 macht) sondern auf die IP-Adresse eines "bekannten Malware-Servers umgeleitet wird. Auch in diesem Fall wäre der Admin der Spiele-Site komplett aus dem Schneider, da eine Fehl-Konfiguration bei Dir vorliegt.
[…BKA-Trojaner…]
Der BKA-Trojaner ist in erster Linie ein „Schlagwort“. DEN BKA-Trojaner gibt es gar nicht. Falls das BKA einen Trojaner für einen bestimmten Zweck braucht, wird dieser ggf. speziell erzeugt um eine ausgewählte Person zu bespitzeln. Dieser Trojaner wird aber bestimmt nicht über irgendeinen quasi-zufälligen Klick auf irgendeinen Vote-Button im Web auf den Ziel-Rechner übertragen, und zweitens auch sicherlich nicht von einem Anti-Virus-Programm erkannt, da jeder „BAK_Trojaner“ ein „Einzelstück“ ist. Sowas kann ein Viren-Scaner höchstens über Verhaltenserkennung bemerken…
Wenn ich nochmal zurück an deinen „früheren Befall“ denke, wäre es auch möglich, dass sich damals eine „Scare-Ware“ auf Deinem Rechner eingenistet hat, die nur vorgibt, „den BKA-Trojaner“ gefunden zu haben. (Wobei es natürlich ungewöhnlich ist, dass es immer passiert, wenn Du auf einen dieser Knöpfe klickst, und sonst nicht…).
Es kann natürich auch sein, dass genau diese Scare-Ware erst über den Vote-Knopf geladen wird: Prüfe ganz genau, ob die Meldung über den BKA-Trojaner wirklich von Deinem absichtlich installierten Viren-Scanner kommt, oder eventuell nur so aussieht, weil Dir der Webbrowser eine kleine Flash-Animation abspielt!!
Zum Test kannst Du mal nach das „EICAR“ Test-File für Viren-Scanner suchen und den versuchen herunterzuladen - dann siehst Du wie ein wirklicher Viren-Infektions-Versuch gemeldet würde.
[… im Forum …]
Wenn ein Nutzer des Forums es schaffen sollte, durch einen BEITRAG im Forum ein Root-Kit auf dem Server des Spiele-Admins (oder Forum-Betreibers) zu installieren, solltest Du an der Qualifikation des Admins und der Sicherheit der von ihm betriebenen Server ganz erheblich zweifeln!
Aber falls wirklich ein Root-Kit auf dem Server des Forum-Betreibers tätig war, ist die Neu-Installation der einzig verantworkliche Weg, den Server wieder garantiert Malware-Frei zu bekommen. Unverständlich ist dann allerdings, warum es keine Backups der Daten auf dem Server gab (-> vgl. Qualifikation des Admins …)
Generell ist ein Forum nicht unbedingt der Beste Weg, den Admin zu erreichen - hier geht es doch vermutlich eher um den Inhalt des Spieles und nicht um Technische Unzulänglichkeiten vom Spiele-Server. Du solltest auf den Seiten des Spiele-Betreibers ein Impressum finden, dem auch eine Kontakt-Adresse angegeben ist. Idealer Wese sogar eine separate Addresse für den technischen Betrieb der Server: rootmein-spielbetreiber.de wäre schon fast ideal, wenn sie denn dort genannt wird.
Schreibe dem eine E-Mail, dass sein Server Malware im Netz verbreitet. Zusammen mit dem Hinweis, welche Seite (URL) Du geöffnet hast, welche Knöpfe/Links zu angeklickt hast (ob Du evtl. irgendwie angemeldet warst), und welches Link-Ziel (URL) im Mouse-Over oder der Statusaddresse des Browsers angezeigt wurde, bevor Dein Klick die Trojaner-Warnung hervorzauberte.
meinen Fragen: 1.
Hätte der Admin das verseuchte Link nicht einfach aus dem
Forum löschen können als gleich das ganze Forum zu löschen und
mich dafür verantwortlich zu machen?
Ketzerische Gegenfrage: Fühlst Du Dich durch „Idi“ bezeichnet? Vielleicht ist ja noch was anderes Gelaufen, was mit Deinem Beitrag nichts zu tun hatte? (Oder hat der Admin gar selbst, während er auf seinem Server als Admin angemeldet war, auf Deinen Beispiel-Link zur Malware geklickt und sich dadurch seinen Server selbst verseucht? -> Wer ist dann der „Idi“ ?!)
Ansonsten: Ja, ein Server der von einem Root-Kit infiziert wurde, kann verantwortungsvoller Weise nur komplett neu installiert werden, denn WAS ein Root-Kit (und die nachgeladenen Kumpane) so alles an dem Sever verdreht haben läßt sich nicht mehr nachvollziehen, und jeder Desinfektions-Versuch birgt das Risiko, dass noch irgendwo ein Fitzelchen aktive Malware unentdeckt bleibt und nach kurzem der Server schon wieder umfassend verseucht ist. Einzige Alternative wäre es, den Server von einem Backup auf den Stand VOR der Infektion zurückzusetzen; dann würden nur die neueren Foren-Einträge verloren gehen. Aber wer weiss, wann genau die erste Infektion erfolgt ist, und ob es ein Voll-Backup vom Zeitpunkt davor noch gibt - sowas findet man meist nur auf Mission-Ciritical Servern, die fürs große geldverdienen gedacht sind, und nicht auf „kleinen“ Spiele- oder Forums-Servern, denn diese Backup-Strategie kostet auch richtig Geld, wenn man sie anwendet.
- In wie fern ist es
Fahrlässig wenn er den verseuchten Button nicht von der
Browsergame-Seite entfernt?
Siehe hierzu meine Ausführungen oben: Es stellt sich ja die Frage, ob überhaupt Malware auf dem Server liegt, der das Spiel betreibt und den der Spiele-Admin ggf. verändern kann. Vielleicht liegt die Malware ja auch auf einem anderen Server oder gar Deinem eigenen Rechner?
Zum Thema ob sich der Admin „strafbar“ macht, kann ich nichts sagen da kenne ich die Gesetze nicht so detailiert. In meiner Antwort habe ich mich daher speziell auf die technisch Möglichen Zusammenhänge beschränkt.
Mit freundlichen Grüßen,
Martin Siegert