26.01.2019 08:46 - bearbeitet 26.01.2019 08:47
Hallo,
worum handelt es sich genau bei dieser Meldung? Keiner der Links sind "Fake Links", ist es also offiziell von Vodafone, die versuchen "uploaded.net" zu blocken? Normalerweise sind solche Warnungen ja immer Fakeseiten, aber hier?
Danke
Gelöst! Gehe zu Lösung.
27.03.2019 10:19 - bearbeitet 27.03.2019 10:23
Hallo @Grimwood,
hallo @mgutt,
aufgrund der gesetzlichen Regelungen sind wir dazu verpflichtet, Kunden über Schadsoftware-Befall zu informieren (§109a TKG). Mit den Infos wollen wir unsere „infizierten“ Kunden auf ihre Sicherheitslücke aufmerksam machen, aufklären und Hilfestellung bei Säuberung und Schutz an die Hand geben.
Mit dieser Meldung haben wir Euch darüber informiert, dass Euer PC, Tablet oder Smartphone von einem Virus, Trojaner oder sonstiger Schadsoftware befallen sein könnte. Möglicherweise sind sogar Zugangsdaten ausgespäht worden und der Computer dient in einem Botnet als "Zombie"; und verschickt dabei unbemerkt Spam- oder Phishing-Emails oder leistet Hilfe bei einer DDoS-Attacke auf fremde Webseiten.
Was ist zu tun:
Weitere Infos und Hilfe erhaltet Ihr auf https://botfrei.de/de/teilnehmer/vodafone/ oder beim BSI www.bsi-fuer-buerger.de.
Lieben Gruß,
Michi
am 26.01.2019 15:04
Worum es sich handelt, steht doch da:
VF hat verdächtige Netzaktivität eines deiner Geräte erkannt und weist dich darauf hin, dass du doch bitte mal deine Geräte entsprechend überprüfen mögest.
Und bevor die Frage kommt, wie das geht:
Dort werden die bekannten Adressen, an die sich die Viren verbinden (z.B. Botnetz-Controller) seitens VF auf "eigene" Logging-Server umgebogen und jeder Kunde, der diese Adressen aufruft (bzw. wo der Virus es macht). Im Anschluß gehen entsprechende Meldungen an die Kunden raus, dass ihre Rechner vermutlich virenverseucht sind.
Gerade wenn man sich in den "grauen" Bereichen des Internet auf irgendwelchen "Für-Lau-Seiten" umhertreibt, darf man sich nicht wundern, wenn man sich da schnell mal was einfängt.
am 26.01.2019 15:20
"Worum es sich handelt, steht doch da:
VF hat verdächtige Netzaktivität eines deiner Geräte erkannt und weist dich darauf hin, dass du doch bitte mal deine Geräte entsprechend überprüfen mögest."
Seufz. Wenn jemand, der keine Ahnung hat, einfach auf alles antwortet. Aber dafür ein "Giga Genie".
Daher: Falls jemand tatsächlich weiss, was das soll, freue mich auf Antworten.
Achja: Laut Vodafone Hotline kennt das niemand (wie auch, ist ja wie gesagt, ein offensichtlicher Fake - mit dem seltsamen Unterschied, dass es keine Fake Links sind), laut diversen Scannern wurde auch nichts gefunden - und inzwischen ist die Warnung auch plötzlich nicht mehr vorhanden (ohne was geändert zu haben).
am 26.01.2019 17:19
Ich habe bei Bekannten eben jene Meldung ebenfalls schon gesehen - dort wurde aber die betreffende Seite jedoch (wenn auch nur manuell, weil man's testen wollte) aufgerufen.
Wie gesagt: Das System kann nicht erkennen, ob es sich wirklich um einen Virus handelt -oder- ob berechtigte Software auf diese Honeypot-Server zugreifen wollte. Es ist jedoch zu einem solchen Zugriff auf ein Honeypot-System gekommen - ob dann wirklich eine Vireninfektion vorliegt oder nicht, dann das System nicht alleine aufgrund des Zugriffs auf den Honeypot entscheiden (daher ist die Meldung auch bewusst so vage gehalten).
Es wäre natürlich auch denkbar, dass du die Meldung irrtümlich angezeigt bekommen hast, weil der "vorherige" Nutzer der IP solche Probleme verursacht hat...
am 26.03.2019 12:26
Bei mir auf dem Desktop PC wurden auch Seiten von Vodafone blockiert. Ich konnte z.B. wie andere User nicht mehr auf die unverschlüsselte Spiegel Website zugreifen, obwohl ich diese Website quasi nie nutze. Es gibt einen "Ignorieren & weiter"-Link bzw "Verstanden", aber diese funktionieren nicht (Da freut sich der Spiegel bestimmt über den Wegfall seiner Werbeeinnahmen).
Ich habe dann mal verschiedene Browser getestet. Es hängt vom User-Agent ab. D.h. Chrome, Firefox, etc erhalten die Meldung, aber Chrome Mobile (Android) und Opera nicht. Änderte ich den User-Agent in Chrome auf Opera, dann kam ich wieder auf die Spiegel-Seite. Das spricht so weit ich das verstehe gegen einen Filter über den DNS-Server von Vodafone.
Also habe ich in meiner Fritz!Box eine neue Verbindung ausgelöst, damit ich eine neue IP erhalte. Und prompt konnte ich wieder alle Websites öffnen.
Ich bin trotzdem erstaunt darüber, dass Vodafone ungefragt mein Surfverhalten überwacht und den Aufruf von Websites einschränkt, weil ich angeblich Adware auf meinem Rechner hätte, was laut diverser Scanner nicht der Fall ist. Und auch wenn es sich vermutlich um einen Fehler eines Vodafone Proxy Servers handelt, ist zumindest mein Vertrauen geschädigt. Denn auch wenn http Seiten unverschlüsselt übertragen werden, gibt es Vodafone noch lange nicht das Recht darin herumzuschnüffeln.
am 26.03.2019 16:08
Jemand von der Technik hat mich angerufen und meinte, dass es solche Warnungen bei Vodafone nicht gäbe. Auch nach einem weiteren Anruf nach Rücksprache mit den Kollegen, kann man sich die Meldung nicht erklären. Man werde aber trotzdem die von mir zu dem Zeitpunkt genutzt IP prüfen.
Das ist übrigens die URL auf die jeder Aufruf weitergeleitet wurde. Also auch der hexadezimale Wert in der URL ist immer gleich geblieben:
http://sicherheit.vodafone.de/campaign/eaf4e8ce1c664c62/get/message.html?url=http://www.spiegel.de/
Diese URL kann ich nicht mehr aufrufen, seitdem ich eine neue IP habe. Selbst die Subdomain http://sicherheit.vodafone.de/ geht nicht auf.
Interessant ist auch, dass die URL http://vodafone.de/scanner aus der Meldung mich auf https://kabel.vodafone.de/tarife/meinedienste/viren-scanner?source=cvm_scanner_redirect_txt weiterleitet und offensichtlich nur für Kabel-Kunden gedacht ist. Siehe Screenshot. Hatte ich als DSL Kunde evtl eine IP aus dem Kabelbereich? Vielleicht kann ja noch jemand das Mysterium aufklären. Da es bei mir jetzt wie gesagt keine Probleme mehr gibt, bin ich erst mal raus 😉
27.03.2019 10:19 - bearbeitet 27.03.2019 10:23
Hallo @Grimwood,
hallo @mgutt,
aufgrund der gesetzlichen Regelungen sind wir dazu verpflichtet, Kunden über Schadsoftware-Befall zu informieren (§109a TKG). Mit den Infos wollen wir unsere „infizierten“ Kunden auf ihre Sicherheitslücke aufmerksam machen, aufklären und Hilfestellung bei Säuberung und Schutz an die Hand geben.
Mit dieser Meldung haben wir Euch darüber informiert, dass Euer PC, Tablet oder Smartphone von einem Virus, Trojaner oder sonstiger Schadsoftware befallen sein könnte. Möglicherweise sind sogar Zugangsdaten ausgespäht worden und der Computer dient in einem Botnet als "Zombie"; und verschickt dabei unbemerkt Spam- oder Phishing-Emails oder leistet Hilfe bei einer DDoS-Attacke auf fremde Webseiten.
Was ist zu tun:
Weitere Infos und Hilfe erhaltet Ihr auf https://botfrei.de/de/teilnehmer/vodafone/ oder beim BSI www.bsi-fuer-buerger.de.
Lieben Gruß,
Michi
am 27.03.2019 10:38
"haben wir Euch darüber informiert, dass Euer PC, Tablet oder Smartphone von einem Virus, Trojaner oder sonstiger Schadsoftware befallen sein könnte"
Ähm, nicht wirklich. Auf der intrusiven Seite steht, mein Gerät sei befallen. Was nicht stimmt.
am 27.03.2019 10:57
Danke @Michi , aber mit "könnte" kann ich nichts anfangen. Solange man keine Logs aushändigt, ist das eine nichtssagende Meldung und sollte es die geben, dann sendet mir die doch bitte zu. Das einzige Schlagwort in der Meldung ist Adware, also das Einschleusen von Werbung in bestehende Websites und das kann ein Provider überhaupt nicht erkennen, da dies lokal erfolgt und die URLs solcher Werbebanner genauso auf einer normalen Website auftreten (es werden nur eben Ref-Ids angepasst).
In meinem Heimnetz befinden sich zig Clients unterschiedlicher Betriebssysteme, die permanent online sind, wie Heizung, NAS, Security Gateway, Smartphones, Tablets, Fernseher und Desktop PCs. Die meisten Betriebssysteme basieren auf Linux. Da ich Entwickler bin und von zu Hause aus arbeite, agieren diese Clients zusätzlich in getrennten VLANs.
Da die Meldung nur über Chrome und Firefox zu sehen war, kann ich davon ausgehen, dass die Zugriffe von einem W10 Desktop Rechner kamen oder werft ihr die Meldung einfach so raus wie es euch beliebt? Darauf deutet es nämlich hin, da ich Firefox schon seit Monaten nicht mehr genutzt habe.
Dann zu deinen Vorschlägen:
- Virenscanner sind installiert, sofern die Betriebssysteme das überhaupt zulassen
- Updates installieren sich von alleine. Alte Betriebssysteme oder Browser verwende ich nicht.
- Firewalls sind aktiviert, sofern die Betriebssysteme sie enthalten, bieten aber quasi keinen Mehrwert, da diese Funktion logischerweise der Router übernimmt. Trojaner nutzen außerdem Standardports, damit sie nicht auffallen. Der Tipp ist also nutzlos.
- ich habe über 1000 Online-Accounts mit unterschiedlichen Passwörtern (nein, keine Übertreibung). Überall wo es möglich ist nutze ich die 2-Faktor-Authentifizierung. Gäbe es einen Missbrauch würde das automatisch eine Meldung des jeweiligen Diensteanbieters auslösen. Der Tipp sein Facebook- oder Twitter-Passwort zu ändern ist nutzlos. Solche Accounts haben rein gar nichts mit lokalen Aktivitäten zu tun.
Eine etwas hilfreichere Antwort und weniger Standardtext um die Sache abzuhaken wäre nicht verkehrt.
Übrigens kamen die Warnmeldungen erst am 23.03. als sich der Router wegen einem DSL Sync-Abbruch eine neue IP holte. Am 26.03. hörten die Meldungen mit einer weiteren neuen IP auf, als ich die Verbindung manuell erneuerte. Sollte es also einen Befall in meinem Netzwerk geben, so frage ich dich warum sie seit gestern aufgehört haben. Außerdem bitte ich um konkrete Infos was die "Adware"-Erkennung überhaupt erkennen will und ob besagte Desktop PCs betroffen sind oder es einfach eine allgemeine Meldung darstellt.
27.03.2019 12:39 - bearbeitet 27.03.2019 12:40
Eigentlich sollte man diesen Schutz ausstellen können, die gleiche Meldung hatte ich vor 10 Jahren bei NetCologne, konnte ich dann durch mehrmaliges Bestätigen ausstellen bzw. pausieren und über die Servicehotline komplett deaktivieren für meine Nutzerkennung.
Vielleicht hilft aber auch schon ein anderer DNS Server, kannst du mal probieren.
Vodafone hat z.B. die boerse auch seit neustem blockiert insofern man den Vodafone DNS benutzt, dementsprechend findet auch eine Zensur statt, von daher würde ich sowieso nur Anbieterunabhängige DNS-Server benutzen.