Sicherheitsleck auf dem SPIEGELFECHTER
geschrieben am 13. Juli 2008 von Spiegelfechter
Murphys Gesetz scheint auch für Blogs zu gelten. Da macht man eine erholsame Woche Urlaub an der See, schaltet auch vom Netz ab und was passiert? Man wird Opfer eines bösartigen Codes, der durch ein WordPress-Sicherheitsleck in den letzten Artikel eingeschleust wurde und den Trojaner TR/Dldr.HTML.Agent.IS von einer nicht näher identifizierbaren chinesischen Seite laden will. Ich erhielt in den letzten drei Tagen viele Mails von aufmerksamen Lesern und auch der gute Chris von nebenan hatte sich bereits des Ärgernisses angenommen. Aber was hilft das alles, wenn der “Chef” selbst lieber die Füße im Meer baumeln lässt und jegliche Kommunikation mit der Außenwelt meidet?
Nach einer kurzen Recherche stellte ich erstaunt fest, dass dieses Problem den Machern von WordPress und Joomla wohlbekannt ist – dort scheint man aber nicht wirklich an der Ursachenforschung interessiert zu sein, sondern rät lakonisch zu einem Update der WordPress-Installation. Ein gebranntes Kind, scheut bekanntlich das Feuer und ein Blogbetreiber, der schon mal Probleme mit WordPress hatte, sagt sich “never change a runnig system”. Nun habe ich Technikmuffel mich aber doch zum Update entschlossen und vorsichtshalber noch ein Schutz-Plugin installiert. Dennoch weiß ich nicht, ob die neuste WordPress-Installation wirklich sicher gegen dieses spezielle Leck ist und auch nicht, ob dieses spezielle Leck durch das neue Plugin gestopft wird. Da kann man wohl leider nur hoffen.
Allen Lesern, die keine Antivirensoftware nutzen, kann ich nur dringend raten, eine solche zu installieren und das System überprüfen zu lassen – ich persönlich kann die kostenlose Software Avira AntiVir da sehr empfehlen. Ich entschuldige mich ausdrücklich bei allen betroffenen Lesern, aber auch ich bin nur ein “victim of circumstances”.
Zwei Dinge fallen bei diesem Vorfall besonders auf. Ein Softwarehersteller scheint sich nicht im geringsten um Sicherheitsfragen zu kümmern und bastelt lieber ständig neue Versionen seiner Software, ohne echten Sicherheitslücken in den älteren Versionen wirklich auf den Grund zu gehen. Das ist mehr als fahrlässig und höchst ärgerlich – WordPress ist kein “Geek-Tool”, sondern wird als einsteigerfreundliche Software beworben. Wer sich an Einsteiger wendet, muß eine sichere und idiotensichere Software anbieten, die “möglichst” frei von solchen Lecks ist. Die “Krisen-PR” von WordPress ist in diesem Falle nur als zynisch zu betrachten.
Der zweite Gedanke betrifft die allmächtige Internetkrake Google. In diesem speziellen Fall ist die Blockade einer betroffenen Seite, wie der meinigen, sicher richtig und wichtig. Wenn man aber in der neuen Firefoxversion nicht einmal eine Seite besuchen kann, die von Google aussortiert wurde, so wird man sich einmal mehr der Macht von Google bewusst. Natürlich habe ich bereits bei Google einen Antrag auf eine erneute Überprüfung gestellt, aber einige Besucher werden meine Seite sicher erst dann aufrufen können, wenn Google reagiert hat – wer weiß, wann das sein wird.
p.s.: Wer den Spiegelfechter trotz aller Unbill unterstützen will, der kann bei der Wahl “Superblogs 08″ gerne für mich stimmen – und wer nun sauer ist, der kann auch für den Oeffinger Freidenker stimmen, der sicher “auch” ein würdiger Sieger wäre ;-)
Update: Google hat erstaunlich schnell reagiert und bereits heute (Montag) morgen um 6.00 die Seite vom Index gefährdender Seiten genommen. Das ist löblich.
Jens Berger
Vertrauen Sie Deutschlands Nr. 1
Wissenschaftlich fundierter Test
www.PARSHIP.de
Wenn man im Firefox-Warnfenster unten rechts auf “Diese Warnung ignorieren” klickt, kommt man ohne Probleme auf deine Seite. Dadurch ist sichergestellt, dass man nicht aus Versehen doch auf die Seite kommt.
Hast du auch eingeschleusten Text “*iframe/wp-stats.php” gefunden?
Der, wie ich es verstehe, kann auch in die Artikel oder Kommentare eingeschleust sein, was von dem Update gar nicht betroffen ist.
Ich habe gleich nach der Meldung von FIXMBR nach dem iFrame in Quellen, die an mein Browser übermittelt wurden, gesucht und … nix gefunden.
Hat es jemand zu dem Zeitpunkt schon entfernt?
Der Trojaner selbst scheint extra für IE angefertigt zu sein.
Verstehe ich nicht. war schon auf FIXMBR darüber etwas verwirrt. Ich konnte deine Seite die ganze Zeit ohne Probleme aufrufen. Hab allerdings nicht den allerneusten Firefox und schon gar nicht mit dem google-Fummel.
Apropos Blogsoftware: http://www.heise.de/ix/inhalt.shtml
@COPOKA
Yep – stand im Irak/Öl Artikel ganz unten
Nö – der Code stand im Artikel ganz unten … bis vorhin.
Im aktuellen FF kriegst Du eine rigide Warnseite (s. Bild 2), die man zwar umgehen kann, in dem man “weiter” klickt (auch @Fabian), aber man kann keine Kommentare verfassen (ich zumindest nicht, da der Inhalt des Eingabefenster nach der Warnmeldung verschwunden ist. Das einzige Mittel, dies zu umgehen, ist es, die Option abzuschalten … was ja auch nicht im Sinne des Erfinders ist. Hoffen wir mal, dass Google schnell reagiert und den SF vom Index nimmt.
Üblicherweise werden die Sicherheitslücken sehr wohl gefixt, diese Fixes werden dann aber in neuen Versionen von zB WordPress ausgeliefert. Teilweise gibt es auch Versionen, die im Gegensatz zur älteren nichts anderes machen, als Lücken zu stopfen. Was im einzelnen geändert wurde, kann man zB hier http://codex.wordpress.org/Changelog nachlesen.
mfg
Bei WP werden regelmäßig kleinere Updates nachgeschoben. Aus der WP 2.3er-Serie ist die 2.3.3 die aktuellste Version. Diese kleineren Updates beheben Fehler. Auch solche mit code injection.
Siehe oben. Solche Updates sollten regelmäßig eingespielt werden und ändern das System nicht oder nur marginal. Auch sollten bei einem Update Sicherungen erstellt werden.
@SF
Genau das verstehe ich nicht, was Google mit FF zu tun hat?
Hast du etwa Google-Fummel zum FF installiert, oder wie?
Oder kann mir mal einer genauer sagen, um was für ein Mechanismus, Plugin oder eine Schnittstelle es dabei eigentlich geht?
Ich habe z.B. Adblock installiert und den Filter von Dr. Evil dazu abonniert.
Gut, noch paar Sicherheitseinstellungen bei FF selbst, aber das war’s schon.
Hab zwar noch FF 2.0.0.12-0.1, kann mir aber schlecht vorstellen, dass FF 3.* mit Google so fest verheiratet ist, dass Google darüber entscheidet, was wer angucken darf.
PS. Ich denke, dass WP als SW-Hersteller sich doch korrekt verhält. Folgendes, wenn ich mich nicht irre, habe ich dir schon mal gepostet: http://www.heise.de/security/news/meldung/107057
PPS.
> der Code stand im Artikel ganz unten ?
Musste man dafür den Artikel getrennt ansehen oder reichte es Hauptseite, wo er auch zu sehen war, aufzurufen?
@Phil
Das will ich auch gar nicht abstreiten, aber laut der Diskussion existiert dieses Problem sogar in der 2.5 Version! Mir ist es (als technischer Laie) auch unerklärlich, wie ein solches Leck überhaupt exisitieren kann. Der “Injektor” greift ja direkt auf eine Datenbank zu, auf die nur Nutzer mit bestimmten Privilegien und WP selbst zurückgreifen kann. Die Löschung eines kompletten Blogs (so man denn kein Datenbankbackup gemacht hat) scheint auf diese Art ja recht einfach zu sein … gut, dass die PI-Freaks keine Chinesen sind ;-)
Sicher – nur gibt es immer wieder Probleme mit den Plugins. Zumindest bei “selteneren” Plugins und neuen Versionen von WP, die noch “taufrisch” sind.
http://wordpress.org/support/topic/134928/page/3
Wie ist denn das mit dem Code. Oben steht, dass der Trojaner für den IE konzipiert ist: Heißt das, als FF oder Opera-Nutzer hat man kein Problem, wenn man trotzdem auf die Seite gegangen ist? Ich habe keinen residenten Virenschutz an und ein gründlicher Scan hat kein Ergebnis (also keinen Befall) gebracht. Kann ich dann davon ausgehen, dass der Kelch an mir vorübergegangen ist oder muss ich weitersuchen? Danke für Infos!
PS: Meine Stimme bekommt der SF trotzdem gerne, hat ja nichts mit der Qualität des Blogs an sich zu tun.
@COPOKA:
Google baut über seine Crawler einen Index mit gefährtlichen Seiten auf. Sollten diese Seiten in den Suchergebnissen auftauchen, läßt Google dich erst nach einer Bestätigung auf diese Seiten. Dieser Index wid jetzt beim FF3 automatisch von Google heruntergeladen und jedesmal mit der URL abgeglichen.
@Fabian
> … Dieser Index wid jetzt beim FF3 automatisch von Google heruntergeladen …
Aha! Danke.
Apropos crawler und robots.txt
Ich habe vor kurzem vesucht, die Seite in web.archive.org abzuspeichern und bekam folgendes gemeldet:
Robots.txt Query Exclusion.
We’re sorry, access to http://www.spiegelfechter.com has been blocked by the site owner via robots.txt.
Read more about robots.txt
See the site’s robots.txt file.
Try another request or click here to search for all pages on spiegelfechter.com/
See the FAQs for more info and help, or contact us.
Jens, wolltest du das wirklich nicht oder?
@Kati
Die Masche lief so ab. Sofern du die manipulierten Artikel aufgerufen hast, wurde damit auch ‘ne PHP-Script auf einem chin. Server ausgeführt. Dort wurde dem IE (falls du einen verwendest) mit Ausnutzung bekannter Sicherheitslöcher Trojener Dldr.HTML.Agent.IS untergeschoben. Was er nach Ausführung genauer tut, kann ich dir nicht sagen (ggf. nachgooglen), aber der muss gar nicht auf deinem Rechner bleiben. Normalerweise, sofern etwas auf deinem Rechner zur Ausführung gebracht wurde, wird was neues darauf installiert. Wenn du also Dldr.HTML.Agent.IS auf deinem Rechner nicht findest, bedeutet es noch lange nicht, dass er nicht infiziert ist. Die Trojaner können sich idR auch recht gut auf dem Windows tarnen, so dass sie durch direkte suche (z.B. nach Dateinamen) gar nicht erst gefunden werden.
> Kann ich dann davon ausgehen, dass der Kelch an mir vorübergegangen ist oder
> muss ich weitersuchen?
Nö, als Windows Benutzer und IT-Laie muss man immer davon ausgehen, dass das System infiziert ist.
Ich habe z.B. meiner Tochter für Online-Banking und ähnliches extra ein Linux installiert ;)
Schönen Abend noch.
@Jens
Das ist wirklich ärmlich dann, wenn dieser Bug nicht gefixt wird …
Solch ein Fehler kann deshalb existieren, wenn Übergabewerte an ein Skript nicht oder falsch geprüft werden. SIehe dazu auch das Cross Site Scripting-Problem.
*grml* plöder Spamschutz …
Hallo,
als sehr bezeichnend empfinde ich das via Apfel und FF 2.0.0.15/FF 3.x, Safari, Opera, WebKit sowie sogar Camino mal überhaupt nichts angezeigt wurde.
Da ich diese Entwicklung schon sehr lange beobachte muss ich nun davon ausgehen, dass sich der Kram bei mir eingenistet hat und ich also als Schadsoftwareschleuder herumturne :-(
Ergo: Softwarecheck auf allen hiesigen Obstrechnern…
Gruß
Hallo Jens,
zur Kritik bezüglich WordPress kann ich dir nur zustimmen. Besonders entsetzt bin ich darüber, wie ich behandelt wurde, als ich im deutschen WordPress-Forum um Hilfe suchte. Da wurde ich ziemlich allein im Regen stehen gelassen. Eine Moderatorin verwies das Problem an mich selbst zurück: “Dein Server scheint offen wie ein Scheunentor zu sein!” Ein Problem von WordPress konnte es ja nicht geben. Dies war mein Grund einen eigenen Beitrag zu posten, wie man das “iframe” aus China wieder los wird. Er wird zur Zeit rege nachgefragt, was bedeutet, das wir beiden nicht die einzigen sind, die davon betroffen wurden. Ein Tipp für Dich: Wechsel dein Datenbankkennwort mal aus. Vergiß aber nicht, dies in der config.php bei WordPress auch zu ändern. Möglicherweise wird auch über die Kommentare und Benutzeranmeldefunktionen WordPress gehackt. Nach dem ich dies alles eingeschränkt habe, hatte ich seitdem keine Angriffe mehr. Kann – aber muß nicht sein – dass meine Einschränkungen die Ursachen waren. Für dein Blog sind aber die zahlreichen Kommentare eine ganz wichtige Funktion, durch die es bereichert wird.
Bei Google müsstest Du dich anmelden und über das Webmastertool eine erneute Überprüfung “erbitten”, um den Makel einer “böswilligen Seite” wieder los zu werden. Zur Kritik an Firefox und Google: So unangenehm dies für einen Betroffenen ist, aber letzten Endes finde ich es richtig, dass Seiten, die virenverseucht sind, geblockt werden. Gerade über Seiten wie unsere, die für viele “für vertrauenswürdig” halten, kann man sich üble Schadprogramme einfangen. Leider mußte ich auch Leute kennenlernen, die virenverseuchte Teile ihrer Website nicht vom Netz nahmen, obwohl sie dies bereits wußten. Sie nahmen in Kauf, dass möglicherweise ihre eigenen Besucher geschädigt werden konnten und teilten mir dies sogar offen mit. Dann ist es besser, wenn dies die “Internetkrake” Google für die übernimmt. Und jeder, der sich dies traut, kann diese Funktion ja beim Firefox deaktivieren: Einstellungen – Sicherheit – das Kästchen “Hinweis auf attackirende Websites” deaktivieren.
@COPOKA: Mensch, so ein Mist. Dann muss ich echt den ganzen Sch****-Rechner neu aufsetzen…? WordPress: Buuuuh! Ab in die Ecke! Darf ich dich noch ein bisschen belästigen, COPOKA? Kann der Trojaner sich auch dann installieren, wenn ich als eingeschränkter Nutzer unterwegs bin?
PS: Ich weiß das mit Windows und so, aber als ich das letzte Mal Linux probiert habe, war’s mir einfach zu umständlich. Ich habe aber versucht, die Risiken so weit es mir als Laie möglich ist, zu minimieren. Ich habe sämtliche überflüssigen Services abgestellt und keine Ports offen außer denen für’s surfen notwendigen, bin als eingeschränkter Nutzer unterwegs und halte das System immer auf dem neuesten Stand. Den residenten Scanner habe ich nicht an, weil der ja auch eine Sicherheitslücke darstellen kann, lasse aber normalerweise über alles den aktualisierten Scanner drüberlaufen, bevor ich’s ausführe. Nützt natürlich nichts, wenn man sich auch ohne eigenes zutun auf ansonsten vertrauenswürdigen Sites was einfängt… :( Online-Banking mache ich wegen der Sicherheitsprobleme nicht und habe auch sonst keine persönlichen Dokumente oder Informationen auf dem Rechner, mit dem ich in’s Netz gehe. Eigentlich habe ich mich relativ sicher gefühlt… Ach, Mist. Eigentlich weiß ich, dass ich den Rechner sowieso neu aufsetze, um kein ungutes Gefühl zu haben. Der Aufwand mit dem ständigen neu aufsetzen lässt Linux allerdings deutlich attraktiver werden. Mann, ich bin jetzt gefrustet. Grüße, K.
Hab noch was vergessen: Herzlichen Dank für die Erklärung, COPOKA… Gruß, Kati :)
@Kati
Nein, das würde dir voraussichtlich nicht viel bringen. Schau dir das da an: http://www.heise.de/security/news/meldung/105807
Mit einer Million bzw. 25 Tsd. täglich ist nicht die absolute Anzahl der Schädlinge, sonder deren Diversität(!) gemeint. Also bei solcher Aktivität und den Begehrlichkeiten kannst du davon ausgehen, dass dein neu aufgezogener PC nicht lange halten wird. Der Trojaner Dldr.HTML.Agent.IS ist gut bekannt und wird von gängigen AV-Scannern erkannt und entfernt. Also, solange die Kiste nicht völlig durchdreht, lass es sein. Nur, wie schon gesagt, geh einfach davon aus, dass dein Rechner verseucht ist. Und verhalte dich auch dem entsprechend. Das ist besser als im Irrglauben, dein PC sei ‘sauber’, zu handeln.
Ist zwar ärgerlich, aber es gibt noch *zig Wege, Schadsoftware auf die Kiste zu bringen, meist durch allerlei Programme, die nicht standardmäßig zum System gehören (IE und Outlook mal ausgeschlossen ;)
Ports sperren, Services zu deaktivieren, FWs aufzuziehen und ähnl. hilft da nicht viel, wenn heutzutage jedes installierte Sch*ß sich ohne Netzanschluss nicht mal starten lässt.
Das ist schon mal gut, aber das System an sich ist meistens nicht das Problem – nur ein Plattform dafür ;) Die Schädlinge kommen meistens durch solche Dinger wie Acroread, ICQ, allerlei Player etc.pp. ins System rein. Im Grunde, um das System einigermaßen sauber zu halten, solltest du peinlichst darauf achten, dass auch all deine Anwendungen von zuverlässigen Quellen kommen und ständig auf aktuellstem Stand sind – willst du dir es wirklich zumuten?
Na ja, es sind noch paar Sachen, die ich auf einem Heim-Windows nie machen würde.
Für solche Sachen kann man sich z.B. ein DVD-Knoppix mit USB-Stick zulegen. Ins Internet lässt sich damit kinderleicht reinkommen, falls du keine exotische Hardware auf deinem PC hast. Individuelle Einstellungen und Zusatzprogramme für Knoppix lassen sich heutzutage automatisch auf dem Stick festhalten, um erneute Einstellungen bei jedem Satrt zu vermeiden. Da kann man auch besonders vertrauliche Dateien/GPG-Schlüssel/Mails etc. speichern/verwalten. Also man muss heutzutage das System für solche Fälle gar nicht erst auf PC installieren.
Den Fehler machen fast alle ;)
Kein Grund dafür. Deinen Ausführungen nach bist du schon sehr sicherheitsbewusster Mensch. Den meisten fehlt sogar das Bewußtsein dafür.
MfG
C.
@kati
Ich kann da Jens nur beipflichten. Virenscanner aktivieren und automatische Updates auf täglich einstellen. Natürlich ist der Scanner selbst auch ein Angriffsziel, aber mit aktuell gehaltenen Scanner ist das Risiko sich einen Schädling einzufangen dann wohl doch ein wenig niedriger einzuschätzen.
nochmal zu Google & Firefox:
Ich finde es ein Unding, dass der Firefox per default für alle seine Seiten bei Google die Erlaubnis holt und der Nutzer darüber im Unklaren gelassen wird. Nichtmal die Option gibt einen Hinweis drauf, ich hab’s selber nur gemerkt, weil ich aus gewohnheitsmäßigem Mißtrauen mir die komplette about:config durchgelesen habe. *grrr* Ich bin echt enttäuscht.
(auch die Gegenmaßnahme nochmal:
Bearbeiten – Einstellungen – Sicherheit – beide Kästchen ?Hinweis, falls Website…? deaktivieren.)
Sinnvoll wäre es, den FF mit JavaScript und PlugIns deaktiviert auszuliefern und beim (selektiven) aktivieren den Nutzer zu warnen, oder beim ersten Start den Nutzer dazu zu bringen die NoScript- und Flashblock-Erweiterungen zu installieren, aber so wird wieder für die Bequemlichkeit ein satter Berg Daten geschaffen, den Google gerne nimmt und ein Werkzeug um viele Benutzer für ein paar Tage von Websites fernzuhalten.
Alles wieder gut. :)
Das mit dem Antrag bei Google ging ja fix. Ich bin erstaunt… ;-)
@g3: Firefox fragt ja nicht direkt bei google nach, sondern nur bei sich selber. Firefox lädt im Hintergrund einen Index von Google (Daten die schon existieren) und da schaut er dann beim Aufruf einer Seite nach und zeigt dann die Meldung eventuell an. Dadurch wird also kein Berg an Daten geschaffen (Google bekommt absolut garnichts davon mit welche Seite du aufrufst)
Und dazu muss man sich auch nicht die komplette about:config durchlesen um das mitzubekommen. Das hättest du auch viel zeitsparender in Erfahrung bringen können (Release Notes, einen der Blogeinträge von Mozilla über die neuen Funktionen)
(Hast du auch den Source komplett gelesen? Was bringt es deinem Misstrauen, dass du jetzt alle möglichen Einstellungen kennst (davon mal abgesehen das da garnicht alle auftauchen) :D
Zu deinem Vorschlag bzgl. dem deaktivieren von allem möglichen: Ich bezweifel das der normale Nutzer gewillt ist, und überhaupt in der Lage ist, einzelne Dinge anzumachen wenn er merkt das ne Seite JS braucht. Er wird dann eher sagen “Hey.. mit dem neuen Firefox geht keine Seite mehr. Ich benutz jetzt wieder den IE”. Du magst das können (ich orakel mal aus deiner Menü-beschreibung zum deaktivieren, das du Linux/Unix nutzt), ich mag das können, aber wir sind nicht die Mehrheit im Internet.
Ich finde es auch nicht gut den Leuten jetzt dazu zu raten die Abfrage im FF zu deaktivieren (man müsste dann ja auch dazu raten alle Antivirus-Software zu deaktivieren, die einem auf solche gefahren Hinweist).
… just my 2 cents
@10 COPOKA
Nein, ich habe die robots.txt nun modifiziert. Danke für den Hinweis.
@13 Grossenbaum
Erst mal Danke für die Hinweise.
-> Datenbankkennwort
Nun, wenn ein Externer dieses PW herausbekommen kann, hat WP aber ein echtes Problem. Ein hacken per Brute Force kann ich ausschließen, da das PW nach allen Regeln der Sicherheit ausgewählt wurde, aber ich habe es vorsichtshalber mal ausgetauscht.
-> Kennwort für User
Außer mir hat kein User die Möglichkeit in den Text hineinzuschreiben und für Kommentare ist der iframe-Tag eh blockiert. Also käme (wenn überhaupt) nur mein eigener Login in Frage, der eigentlich auch sehr sicher ist … aber ich habe das PW mal geändert – man weiß ja nie.
@Grossenbaum und Chris
Google hat erstaunlich schnell reagiert und die Seite wieder vom Index genommen.
@16 COPOKA
Bei solchen Horrormeldungen von einem Hersteller von AV-Software wäre ich allerdings auch sehr vorsichtig – natürlich haben die ein Interesse daran Panik zu verbreiten und die Lage möglichst dramatisch darzustellen; schließlich verdienen sie damit ihr Geld.
Ich will das Grundproblem gar nicht kleinreden, aber mit einem Virenscanner, der immer up-to-date ist und einer “relaltiv” scharf geschalteten Hardwarefirewall fühle ich mich auch mit laufendem WXP-System nicht wirklich unsicher. Der Preis für Internetaktivität ist nun mal leider eine gewisse Restunsicherheit, die aber unter normalen Umständen nicht ausgeschloßen werden kann – außer man verzichtet auf eine Menge Komfort ;-)
Ein gutes Gefühl, auf eine meiner wichtigsten Informationsquellen wieder halbwegs unbesorgt zugreifen zu können. Bleibt nur zu hoffen, dass wir nun nicht alle Mitglieder im Verein der anonymen Bundestrojanerbesitzer sind ;)
@Jens
Vielen Dank für deine tolle Seite und die riesige Arbeit, die du in dieses Projekt zu stecken scheinst. Wobei ich in dem großen Sammelsurium aus innerdeutscher- sowie internationaler Politik noch mindestens ein wichtiges Thema vermisse…Ich hoffe mal, dass es mir auf dieser Seite erspart bleibt, als bloßer Verschwörungstheoretiker abgestempelt zu werden, wenn ich gerne einmal deine Meinung zur Bilderberg-Konferenz erfahren möchte. Dennn dieses Thema scheint mir von außerordentlicher Brisanz zu sein, war doch anscheinend auch unser großer neuer Hoffnungsträger Obama am 5. Juni in Chantilly zugegen.
@Michael
-> Bilderberger
Ich finde das Thema nun einmal nicht so spannend. Dass sich Polit- und Wirtschaftseliten mal zusammensetzen und über dies und das sprechen, ist mE nicht außergewöhnlich. In Davos treffen sie sich ja auch jährlich.
Nur dass es in Davos weitaus weniger konspirativ zugeht und die Teilnehmer nicht gegen geltendes Recht (wie beispielsweise den Logan Act) verstoßen.
Trotzdem danke für deine schnelle Antwort :)
@spiegelfechter
Da geb ich Dir recht. Ausschließen kann man es allerdings trotzdem nicht, dass das PW geknackt wurde. Wie wird sonst der Zugang zu einer DB erreicht, wenn nicht über das PW? Und schaden kann ein Austausch des PW auch nicht.
Aha, du hast bislang keinen zusätzlichen Benutzer akzeptiert. Aber registrieren kann man sich bei Deinem Blog. Und dies könnte ein Leck sein.
http://www.spiegelfechter.com/wordpress/wp-login.php?action=register
Bei mir gabs nämlich auch vorher merkwürdige Registrierversuche mit komischen Benutzernamen und Emailadressen. Danach wurden meine Blogs mit desen iframes und anderen Scherzen “bereichert”. Denk mal nach, ob du ähnliche Erfahrungen gemacht hast. Die Registrierfunktion könntest Du eh abschalten, wenn sich bei deinem Blog keine Benutzer anmelden können sollen.
Meine Meinung: Wenn einem die WordPress-Leute nicht weiterhelfen, muss man selbst nach Lösungen suchen und was versuchen. Viel Erfolg weiterhin mit Deinem Blog!
@Grosenbaum
Die Registrierung ist für den Blog nicht nötig, wohl aber fürs Forum. Neu registrierte User kriegen aber nur die Berechtigung “Registrierter Leser” und können keine Artikel verfassen. Es kann natürlich durchaus sein, dass ein Leck diesen Usern das Editieren meiner Artikel erlaubt – dies würde ich zwar eigentlich in der Datenbank erkennen, aber auch das ließe sich wohl verschleiern.
@all
Gibt es für WP ein Tool/Plugin, das die Datenbank überwachen kann? Denkbar wäre z.B. ein besonderes PW für gewisse Signalwörter á la “iframe” oder auch ein spezielles Prozedere, dass beim nachträglichen Editieren eines Artikels eine gesonderte PW-Abfrage verlangt.
Das Gesellschafter-Forum ist seit 4 Tagen wegen “Wartungsarbeiten gesperrt”, aktuell die ZEIT-online-community wegen “Wartungsarbeiten” offline, gleichzeitig ist bei ZEIT-online ein vermehrtes Aufkommen von neuen Usern, die rechte und Atom-Propaganda betreiben, ofensichtlich.
Komisch.
Sind da Zusammenhänge denkbar?
@SF, #24
Ja, das Interesse daran haben sie zweifelsohne, dennoch sind die Zahlen durchaus realitätsnah. Das Thema wurde vor kurzem hier http://www.heise.de/kiosk/special/ct/07/03/ behandelt. Die Abertausende ‘neue’ Viren und Trojaner sind idR gar nicht so neu – es sind meistens leicht modifizierte Altbekannte, die jedoch durch s.g. Signaturen erst nach einiger Zeit von ‘klassischen’ VScannern erkannt werden, die darauf aufbauen. Bei so häufiger Modifikation der Schadsoftware versagt diese Vorgehensweise definitiv. Aber VirenScanner, die das Verhalten von Programmen analysieren, belasten über Maß den Rechner und überfordern idR die Endbenutzer, die es auch nicht besser wissen, ob da wirklich um eine Schadsoftware oder ein Systemdienst handele. Ähnlich mit s.g. pers. Firewalls. Also das ist wirklich ein Hase/Igel-Spiel, das so nie zu gewinnen ist. Zumindest als Privatmann ohne IT-Background und andauernder Beschäftigung damit – wem würde es schon Spass machen? Von daher sage ich auch, dass es vernünftiger ist davon auszugehen, dass der PC verseucht ist. Meist jedoch durch Dokumente, Bilder, Codecs, allerlei Tools und v.m., was Leute tagtäglich auf ihre PCs herunterladen.
Jain – s.o. Viel wichtiger ist dabei, dass dein Browser up-to-date ist. Alle, die ihre Browser (ob’s nun IE oder FF ist) up-to-date halten, dürften von der Attacke, die in diesem Fall durch WP (als Vermittler) nur angeleitet wurde, gar kein Schaden erleiden – der Trojaner auf dem chin. Server war uralt, baute also auf längst bekannten und gestopften Sicherheitslöcher im IE und WXP auf. Dürfte also in den meisten Fällen bei den ‘Endkunden’ in die Hose gehen. Von daher halte ich die Aufregung diesbezüglich etwas übertrieben.
Jep. Ich fühle mich auf meinem Linux noch ein Stückchen sicherer, aber auf keinen Fall absolut sicher ;) Linux, zumindest Desktopsystem, ist vor allem nicht so begehrt wie WXP & Co. Hat allerdings auch wesentlich besseres Sicherheitskonzept. Linux-Server und seine Tools/Dienste, wie auch dein Fall zeigt, ist da schon viel interessanter.
“Das ist löblich.”?
Cheffe, das hättest Du aber imho deutlich weniger schwülstig sagen können :-P
Hab trotzdem aus alter Verbundenheit für Dich gestimmt (und weil Du ja auch ‘ne ganze Menge brauchbares Zeug schreibst), obwohl – “die Konkurrenz” hätte mir ja auch mal ansehen sollen, bevor ich so gnadenlos subjektiv vote ;-)
cu
hannilein
@hannilein
“Löblich” ist ein feines Wort – das habe ich vom “ollen” PSL aufgeschnappt ;-)
Mann, mann, mann, … ich habe mir nie eingebildet, vor dem Gewürm sicher zu sein, bin dennoch mal wieder erschreckt wie schnell es gehen kann. Auch wenn ich ein herzlicher Computeridiot bin – und mir dessen schmerzlich bewusst bin-, hab ich bspw. FF 3 laufen, aktualisiere mein AntiVir Premium täglich und bin firewallgeschützt, neben anderer diverser FF-Sicherheitsspielereien (AdBlock Plus, NoScript, Keyscrambler, Stealther…). Insgesamt bin ich mir all der virulenten Probleme bewusst und versuche dementsprechend mit der angebrachten Vorsicht zu surfen. Trotzdem habe ich beim Besuchs des Spiegelfechters im genannten Zeitraum WEDER eine Sicherheitswarnung vom Fuchs NOCH von AntiVir erhalten. Antivir hat auch bei den Scans keinen Alarm geschlagen.
Auch wenn ich im besagten Zeitraum lediglich die Hauptseite aufgerufen habe, muss ich – wie Kati – zwingend davon ausgehen, dass mein Rechner kompromitiert ist? Mich beunruhigt vor allem, dass der FF mich nicht gewarnt hat, das treulose Füchslein… Den Einstellungen entsprechend hätte er das eigentlich tun müssen. Schließe mich Katis Frustration an…
@sf
Gibt es für WP ein Tool/Plugin, das die Datenbank überwachen kann? Denkbar wäre z.B. ein besonderes PW für gewisse Signalwörter á la ?iframe? oder auch ein spezielles Prozedere, dass beim nachträglichen Editieren eines Artikels eine gesonderte PW-Abfrage verlangt.
ja, jens, sowas ist möglich. wenn der anbieter wordpress quasi einen internetauftritt in
php mit mysql unterstützung leistet, geht das recht einfach. allerdings ist so eine zusätzliche prüfabfrabe auf iframes etc. nicht ohne weiteres erhältlich. du solltest wenn,
wie ich denke, wordpress, diese funktionen php und mysql verwendet, einen programmierer
in deiner bekanntschaft fragen. nach meinen erfahrungen ist es einfach die sogenannten _POST-dateien auf verseuchung zu überprüfen. vielleicht müsste er gerade mal 10 zeilen test zum quellcode hinzufügen.
übrigens deine stimme für avira ist gut, hab ich auch, und bisher(naja….) eigentlich nie solche probleme gehabt. ich denke eher das du direkt angegriffen worden bist. als erstes tool nach
einem angriff würde ich jedenfalls das verwenden: gibts kostenlos: es nennt sich
process explorer
und ist von sysinternals, wie lange es noch kostenlos ist weiss ich nicht, aber es zeigt alle im hintergrund laufenden prozesse an.
dennoch wie oben gesagt, frag doch mal jemand in deiner näheren umgebung der sich mit php/ mysql auskennt, (ich kanns auch, aber bin weit weg, gegebenfalls muss er auch mal deinen computer prüfen)
das zu lösen. eine solche prüfprozedur ist schnell geschrieben und funktioniert auch. die meisten blogsoftwares müssen halt mal erweitert werden. die hersteller denken an sowas nicht. daran soll dein
“schmeichel, lob, etc.” SUPERGUTER BLOG nicht leiden. sonst lass ich mir mal
was einfallen.
nebenbeibemerkt: es läßt sich in der kombination php/mysql auch nachträglich noch der übelste “datenbankeintrag (virus) meistens beheben”
frag in deiner nachbarschaft….das geht……
vielleicht hilft das
carlo
A propos google und firefox und so, kanntet ihr den schon?
https://www.datenschutzzentrum.de/presse/20080807-google-analytics.htm
hab das erst vor 2 tagen bekommen und direkt die übermittlung an google ausgestellt, soweit man dem trauen kann. harte nummer, irgendwie…
Ich finde es legitim wenn ein Softwarehersteller auf die neueste Version verweist.
Neue Versionen bringen nun mal sicherheitsupdates.
Ich finde es geradezu obszoen eine Softwareversion mit bekannten Sicherheitsbugs aus purer Trotzigkeit zu nutzen!
Natuerlich updatet man wenn Sicherheitsprobleme geschlossen wurden. *kopfschuettel*
Wenn sich der Hersteller nicht die Muehe macht zu bestaetigen das neue Versionen nicht betroffen sind ist das natuerlich assig.
Und wenn der Hersteller eine Releasepolitik hat die Features nicht von Sicherheitsbugs trennt ist das auch fahrlaessig.
Sprich, es ist unabdingbar immer halbwegs aktuelle Software zu nutzen. Schon wegen des Supportaufwandes beim Hersteller (oder dessen community).
Aber auf der anderen Seite muss updaten ein sauberer, zuverlaessiger und alles in allem zumutbarer Prozess sein.
Keine Ahnung wie sich WordPress in all diesen Belangen schlaegt. Aber mir kommt deine Hatung gegen Updates schon sehr befremdlich vor.
@Chr, #34
Nein. Ich habe mich nicht besonders lange mit dem Schädling beschäftigt, aber wie’s aussieht, ist er auf IE mit bestimmten Sicherheitslöchern ausgelegt.
Höchstwahrscheinlich wurde der Angriff aus dem PHP-Script (von dem chinesischen Server) gar nicht erst gestartet, weil es eben nicht der Zielbrowser für den Angriff war. So hat dein FF auch nix verdächtiges in diesem Script feststellen können.
Um Angriff durchzuführen werden im Script erst Zielrechner mit ganz bestimmten Konstellationen ausgesucht oder halt direkt “IE-features” in Anspruch genommen, die FF getrost ignorieren kann und/oder dem Script mitteilen, dass er mit ihm auf diese Art nicht mitspielen wird.
@carlo, 35
Was soll er bitte mit dem tool anfangen?
Gehackt wurde nicht sein PC, sondern Server mit PHP, MySQL und WP-Software bzw. das WP-Software an sich. Das alles läuft meines Wissens auf’nem Linux.
“process explorer” ist so’n unnütziges Zeug, das Unmenge allerlei Systeminterna, mit dem ein Windows-Benutzer nichts anzufangen weißt, anzeigt. Das macht tollen Eindruck, hilft aber bestenfalls nur einem Windows-Profi, der auch [hoffentlich] versteht, was da genauer abgeht.
Apropos neue WP-Versionen:
http://www.heise.de/newsticker/meldung/110912
http://talkpress.de/kategorie/wordpress-2-5/
@bacho, 36
Verstehe ich nicht, was das alles mit FF zu tun haben soll?
Oder betreibst du eine Seite, auf der du diesen “Google Analytics”-Script eingebaut hast?
Das soll allerdings Browser-unabhängig funktionieren, sonst hätte es wenig Sinn gemacht. Funktioniert allerdings nur bei Leuten, die sich nicht um die Cookies in ihren Browsern kümmern. Genau da bietet FF ausgezeichnete Massnahme – alle Cookies nach FF-Beenden automatisch löschen (am besten samt Chronik, Formularen, Cache, Passwörten etc.). Kann man auch auf Knopfdruck erledigen, wenn Neustart unerwünscht ist.
Ich hab gestern FF-3 auf einer VM installiert und ausprobiert – FF ist und bleibt aus Sicht der Sicherheit und Datenschutz DER BROWSER schlechthin.
Nur muss man sich halt etwas Zeit nehmen mit FF-Einstellungen auseinanderzusetzen.
A propos google: http://www.scroogle.org/cgi-bin/scraper.htm :)
Achja, noch was zu FF. Hier ist die richtige Bezugsquelle dafür: http://www.mozilla-europe.org/de/
Ich habe schon Erfahrung gemacht, dass Menschen es sich von allerlei kruden Seiten runterladen und dann sich wundern, was da alles noch dran hängt.
@lieber copoco
mein vorschlag war erkennungsdienst mit hilfe des process explorers zu ermöglichen.
damit weis er was im hintergrund läuft.
des weiteren ist davon auszugehen das jens keinen eigenen server betreibt. also stimmt
was ich sage. es wäre möglich ein zusätzliches php-script nach dem sogenannten submit-button zu setzen und die sache zu lösen. wir wollen doch alle das beste.
bis bald
carlo
@COPOKA #38 – Dank dir für die Erklärungen! *demütigerknix* Bin ich schon mal ein wenig beruhigter! Ich hätte derzeit nicht wirklich die Zeit, mein System komplett neu aufzusetzen!
Warum bei anderen hier der FF Alarm geschlagen hat, versteh’ zwar immer noch nicht… Aber ich bin eben auch n Computerdepp!
Installiere meine Addons immer brav bei mozilla und nicht bei astronautischen Drittanbietern…
Danke nochmal und nen schönen Abend***
@copoka
mach jens doch net so verrückt……………wenns denn eine übelste externe attacke war, heisst das für ihn sowieso alles überwiegend neu auffahren. hauptsache die datenbank bleibt heil.
übrigens hat der sogenannte process explorer im gegenteil zu deinen vorstellungen vielen leuten gut geholfen.
wenn, wie du meinst ein angriff auf einen sever passiert und “sauber durchgelaufen ist”,
sieht es in der regel absolut mies aus. abgesehen davon merkt kaum jemand etwas davon.
soweit mir bekannt ist sind jedoch die blog-softwares die nicht nur spiegelfechter verwendet sondern sehr viele leute im europäischen raum recht gut, aber zuweilen unsicher. ich denke dennoch dass mein vorschlag für jens ganz brauchbar ist
die überwachungssoftware process explorer sollte ja gerade angewendet werden wenn man sich in den serverbereich eingelogt hat…dann sieht man auch was…
bis bald
carlo
@copoka
deine tips zum firefox sind richtig. der hinweis das viele von irgenwelchen “irrenseiten”
die software herunterladen auch. bisher hatte ich mit firefox wenig probleme, wichtig ist allerdings unsinnige, überflüssige und gegebenenfalls störende featurers auszublenden oder ganz und gar überhaupt nicht zu installieren. aber jeder weiss, die ordentlich verfasste anleitung zum firefox wird in der regel nicht einmal gelesen.
bis bald carlo
@Chr, 42
Mach dich nicht verrückt ;)
Das ist ganz einfach. FF->Einstellungen->Sicherheit:
[x] Warnen, wenn Webseites versuchen, Add-ons zu installieren
[x] Hinweis anzeigen, falls die besuchte Webseite als Betrugsversuch eigeschätzt wird:
. (x) Überprüfen, unter Verwendung einer lokal gespeicherten Liste
. (-) Überprüfen, indem [Google] für jede besuchte Webseite gefragt wird
——————————————-
Wenn zweiter Hinweis nicht angefordert wird, kommt er auch nie zustande.
Ich erlaube meinem FF, es durch interne Liste zu überprüfen. Es ist auch nicht schlimm, wenn sie ab und an von irgendwo heruntergeladen wird – Herkunft der Liste(n) ist mir im Moment nicht ganz klar, scheint aber auch von google zu kommen (siehe Parameter browser.safebrowsing.provider.* unter about:config).
Die zweite Option mit [Google] bedeutet schlicht, dass ich der Krake erlauben würde, mein Verhalten im Netz zu tracken – das ist mir viel zu blöd.
Sowieso sind die Googles Warnungen für Windows-Systeme ausgelegt und sind für mein System ohne Bedeutung. Aber ich würde es nicht mal unter Windows erlauben.
Im FF-3, wie ich bereits gesehen habe, ist es genauso gemacht – daheim hab ich noch FF-2.
Da bin ich wieder… Ich danke allen für ihre Hinweise und aufmunternden Worte (insbesondere dir, COPOCA) und wollte nur mal mitteilen, dass ich beschlossen habe, den Rechner nicht neu aufzusetzen. Ich habe keine seltsamen Verbindungen festgestellt, normales Surfen und die üblichen Arbeiten am PC funktionieren einwandfrei und im Grunde gibt’s eh nichts besonderes bei diesem Rechner auszuspionieren. Wie ich allerdings den residenten Schutz wieder anstelle, muss ich noch herausfinden, einfaches Anschalten hat nix genutzt.
Mir ist allerdings bei NoScript aufgefallen, dass man Iframe auch verbieten kann (in den Einstellungen) – habe ich dann jetzt mal gemacht und hoffe, dass das solche Angriffe vielleicht verhindert…? Ich konnte vorher nichts mit dem Begriff anfangen – aber jetzt schon. :)
Also, noch mal herzlichen Dank an alle und noch einen schönen Abend!
Grüße, Kati
@carlo
Nein, spiegelfechter.com läuft auf einem gemieteten Linux-Server und somit ist ‘process explorer’ absolut wertlos.
Ja, in der Richtung habe ich auch schon gedacht, nur bin ich im WP und PHP-Scripting nicht so fit, um es mir zuzutrauen.
Außerdem bin ich mir nicht sicher, ab es wirklich die richtige Strategie dabei ist. Die Preisfrage frage ist dabei, wie genau einen Beitrag im MySQL geändert wurde. Nach Änderungen und iFrames ständig Ausschau zu halten wäre zwar eine Abhilfe, aber keine Lösung.
@kati
Danke, Kati. Ich habe mich die ganze Zeit gefragt, wo ich solche Einstellung gesehen habe ;)
NoScript habe ich allerdings wieder deinstalliert, da es sich mit dem Flashblock nicht vertagen hatte. Flash-Werbung geht mir doch stärker auf den Geist :)
Im Übrigen, wenn du damals auch mit FF unterwegs warst, solltest du dir gar keine große Sorgen machen. Ich hab dich so verstanden, dass du mit IE unterwegs warst.
@copoka
was du da los lässt ist an sich richtig. übrigens, zu deiner meinung das “der server von jens angegriffen wird”, denke ich und weiss es auch, dann geht gar nichts mehr. es ist möglich das rechtsradikale oder verwandte idioten da tätig geworden sind. aber dennoch sind unsere guten blogs absicherbar………..und das auch ohne einfluss auf geschwindigkeit.
was ich für jens geschrieben hab, nämlich die post-variablen zu prüfen ist …ein weg.
bis bald
carlo
lieber copoka!
wg. spiegelfechter…attacke oder virus
ich denke schon das dieses problem locker………lösbar ist.
ein bischen wille muss dabei sein…………net wieder nix tun und alles verdampfen lassen……………also mach mal…….ich bin auch dabei!!!
bis bald
carlo
@carlo
Klar, ist es wie jedes Problem lösbar, auch wenn ggf. nicht ganz locker.
Wie ich schon schrieb, die erste Frage lautet: wo liegt das Problem?
Wie genau wurde iFrame dem Artikel zugefügt?
Wurde Server gehackt? Oder ist irgendwo Zugriff auf MySQL offen – das Passwort dafür ist in einem PHP-Script abgespeichert. Also braucht man ‘nur’ sehr begrenzte Rechte auf dem Server (z.B. d. ftp oder telnet) zu bekommen, um es herauszukriegen. Nur gehört Server nicht Jens – das wäre Aufgabe für Admin.
Höchstwahrscheinlich wurde es jedoch durch Ausnutzung einer Schwäche der WP-Software an sich durchgezogen – man bastelt ein lustiges URL zusammen und schwups, modifiziert MySQL ein Artikel ;)
Da es mehrere Sicherheitshinweise für WP gab, liegt wahrscheinlich das Problem darin. Die Lösung – neues WP-Release drauf zu installieren.
Oder kannst du näheres dazu sagen, WIE diese Modifikation des Artikels durchgeführt wurde. Wenn man das wisse, so ist es schon die halbe Lösung.
Jens, weißt du mittlerweile mehr dazu, auf welchem Wege der Artikel verändert wurde? Ich meine aus Logfiles oder ggf. aus Kommunikation mit Admin.
@copoka
ich denke, wahrscheinlich ist die rechtevergabe bei wordpress recht grosszügig gehandhabt.
du hast da schon recht…eigentlich sollte sich da der “administrator” in die pflicht genommen sehen. der blog lässt offenkundig wohl diverse html-tags zu, die zuweilen nicht erwünscht sind.
jens wird allerdings nicht darum kommen, sich seinen internetauftritt nachbearbeiten zu lassen. (das ist bei vielen cms systemen mittlerweile usus)
hoffentlich hat der php programmierer dann nicht gerade ein cdu oder spd parteibuch:-)
@COPOKA
Keine Chance – da müsste ich ja das komplette Logfile der in Frage kommende Tage auswerten. Das ist ja eine Herkulesaufgabe ;-)
@SF, #53
> … Das ist ja eine Herkulesaufgabe ;-)
Jep, is’es!
Wie hast du dich zu den neuen WP-Releases entschieden?
Was ist denn bei dir jetzt am Laufen?
Zu Web-Archive – der will immernoch SF nicht speichern.
Versuch mal selber – keine große Sache, kann sich allerdings in manchen Fällen als nützlich erweisen. Auch dann, wenn du backups regelmäßig anlegst. Ist im Notfall schnell zugreifbar.
PS. *SF*/283/obama-and-beyond scheint bei Spammern besonders beliebt zu sein.
@COPOKA
Ich habe auf 2.5.1 upgedatet und daher auch u.a. das Problem, dass …
… neuerdings auch Spam-Kommentare über das “Abo-Plugin” verteilt werden, die gar nicht freigeschaltet wurden. Aber da setzte ich mich noch dran; ebenso an die Web-Archive Sache.
“Wer den Spiegelfechter trotz aller Unbill unterstützen will, der kann bei der Wahl ?Superblogs 08? gerne für mich stimmen – “
Du hast dieses Dingens uebrigens gewonnen.
warum benutzt ihr nicht mal ein anderes betriebssystem?
@ priono
Wo willst du denn mit der Frage hin?
Und was hat/hatte das Sicherheitsleck mit Betriebssystem zu tun?
@COPOKA
Ich vermute mal, “priono” will darauf hinaus, dass die Gefahr, sich einen Trojaner oder ein Virus einzufangen, unter Linux und Mac geringer ist.
Für jemanden, der Photoshop und Indesign professionell nutzt und dem eine Apple-Kiste zu teuer ist, hat dieser Tipp aber keinen Mehrwert ;-)
@SF
Na ja, wordpress läuft ja unter Linux ;)
Das Sicherheitsleck war ja nicht auf deinem PC.
Es sei denn, jemand hat dir von deinem PC die Passwörter etc. geklaut, was theoretisch auch nicht auszuschließen ist. Nur theoretisch ;)
Schönen Abend noch.
@COPOKA
Nee, es geht um die Client-Systeme und nicht um den Server. Das WP ein Leck hat ist klar, aber der Trojaner kann nur auf den Client gelangen, wenn das OS auf dem Client diesen “akzeptiert”. Capice? ;-)
Dir auch noch nen schönen Abend!
@SF
Jö, capice. Ich wollte ‘priono’ nur noch darauf hinweisen, dass Windows auf den Clients zwar notwendige aber keine hinreichende Bedingung für derartiges Akzeptieren ist.
Genau aus diesem Gründ würde ich auch nie eine neue Version installieren. Zwar neu, aber noch in den Kinderschuhen. Da nehme ich doch lieber die ältere Version.
Da hast Du ja noch mal großes Glück gehabt, dass Google derart schnell reagiert hat. Hat mich ziehmlich überrascht.
Wow! Hier war es sehr spannend und interessant:) Gute Frage zu diskutieren , die Kommentare dazu sind echt sehr gut…Ich verstehe aber auch nicht , was Google mit FF zu tun hat…?Naja, die meisten Fragen haben keine bestimmte Antwort.Tolle Seite!