[TEILS GELÖST] phpMyadmin in Firefox wechselt zu http://cdnsure.com/assets/wmv

[JamesByrnes]

Hallo,

ich erlebe gerade etwas Seltsames. Auf meiner Linux-Workstation Debian 11 mit
MariaDB, arbeite ich mit phpMyAdmin um SQL zu testen. Seit heute erlebe ich,
wenn ich eine Datenbank auswähle, dass nach ca. 10 Sekunden dieser Link
aufgerufen wird:

http://cdnsure.com/assets/wmv?gp=1&js=1 ... AiZTBiMCJ9

Im Browserfenster sehe ich dann “5ox”. Das passiert erst seit heute in einem
Firefox ESR 102.8.0esr.

Was ist das? In den Apache-Logs finde ich absolut nichts. Im Chrome passiert
das nicht.

Viele Grüße
James

[TRex]

Komisches Browser-Addon installiert? Malware in der phpmyadmin-Installation? Klingt nicht vertrauenswürdig.

[JamesByrnes]

Komisches Browser-Addon installiert? Malware in der phpmyadmin-Installation? Klingt nicht vertrauenswürdig.

Ich sagte, dass das von einem Tag auf den Anderen geschehen ist. phpMyadmin ist unverändert seit Dezember 2022 und zusätzliche Browser-Addons habe ich auch seit langem nicht mehr installiert.

[TRex]

Ich sagte, dass das von einem Tag auf den Anderen geschehen ist.

Gehacktes Wordpress oder so auf dem gleichen Host macht sowas auch möglich. Du kannst auch den ausgelieferten Code auf die domain untersuchen und systematisch vorgehen - das kann ich dir aber nicht abnehmen.

[JamesByrnes]

Gehacktes Wordpress oder so auf dem gleichen Host macht sowas auch möglich. Du kannst auch den ausgelieferten Code auf die domain untersuchen und systematisch vorgehen - das kann ich dir aber nicht abnehmen.

Sehr witzig! Ich sprach eingangs von meiner Workstation, das PHP, MariaDB etc. ist auf dieser Maschine und nicht irgendwo im Internet.

[debilian]

und du gibst ein

Code: Alles auswählen

http://localhost/phpmyadmin

?

[uname]

Sehr witzig!

Warum? Die meisten gehackten Systeme (wobei vor allen Windows) sind auch in lokalen Netzen hinter NAT-Router/Firewalls.
Du könntest mal den gesamten Code rekursiv durchgreppen. Vielleicht findest du ja was.
Verwende evtl. auch ein anderen Benutzer (Browserprofil) und deinstalliere alle Plugins.
Da es nur im Firefox passiert, such vor allen im Firefox den Fehler.
Du kannst auch mal die Taste F12 drücken und dort auf Netzwerkanalyse usw. wechseln.

[JamesByrnes]

und du gibst ein

Code: Alles auswählen

http://localhost/phpmyadmin

?

Nur zum Teil. Bei
http://localhost/phpmyadmin/index.php?route=/&route=%2F
passiert gar nichts.
Bei
http://localhost/phpmyadmin/index.php?r ... kel2&pos=0
springt sofort dieser ominöse Link ein. Aber nur bei Firefox!

[debilian]

irgendwelche proxy settings im FF?

[JamesByrnes]

Verwende evtl. auch ein anderen Benutzer (Browserprofil) und deinstalliere alle Plugins.
Da es nur im Firefox passiert, such vor allen im Firefox den Fehler.
Du kannst auch mal die Taste F12 drücken und dort auf Netzwerkanalyse usw. wechseln.

Zum Browserprofil kann ich soviel sagen, dass hier das Problem nicht auftritt (gleicher Firefox, gleiche Datenbank).
Netzwerkanalyse in den Entwicklertools (F12 funktioniert nicht bei jedem) zeigt zwar den lokalen Traffic aber nicht den Schritt zu dieser URL.

Ich würde jetzt darauf tippen, dass irgendwie dieser Link an irgendeiner Stelle in meinem Default-Profile steckt.

[JamesByrnes]

irgendwelche proxy settings im FF?

Na dann, wäre das bereits die gesamte Zeit aufgetreten und nicht erst seit gestern. Und dann wüsste ich, dass ich was verändert habe.

[JamesByrnes]

Ich suche in dem besagten Profile:

Code: Alles auswählen

cd ~/.cache/mozilla/firefox/guf80m5f.default-1466237419279$
grep -R -i --color 'cdnsure' *

Dann bekomme ich

Code: Alles auswählen

grep: cache2/entries/755A5F9C069EBF2C54F1118660682046E4E7F1DF: Übereinstimmungen in Binärdatei
grep: cache2/entries/A4F6FD82B85D71A80BF86B13826AFE7099BB4B1C: Übereinstimmungen in Binärdatei
grep: cache2/entries/58AB053B1DAF93CEF6DD39057002C42F13C6BFA1: Übereinstimmungen in Binärdatei
grep: cache2/entries/A7E3EDCA25B8A20796D32265FFAFA4D1861DB545: Übereinstimmungen in Binärdatei
grep: cache2/entries/3CCF3D9B3C7B584E917D1361527995139D9B368D: Übereinstimmungen in Binärdatei
grep: cache2/entries/5A3F91DCA3517D09D9F8F6EED8CD34C24BEF16AF: Übereinstimmungen in Binärdatei
grep: cache2/entries/DCE437479742E49A28868F3433385C3F8FDF021C: Übereinstimmungen in Binärdatei
grep: cache2/entries/820EC1A9CE3FF39E65575ABADA7B1E56F9B4AD63: Übereinstimmungen in Binärdatei
grep: cache2/entries/D8BF23E5CC00C4AC23BD0ABCF76AE25EB71576B3: Übereinstimmungen in Binärdatei
grep: cache2/entries/A259340A4559CDF28C462C3B7334104EE70F6FB1: Übereinstimmungen in Binärdatei
grep: cache2/entries/BB07A99595516B50E93232461B79F119019E1E73: Übereinstimmungen in Binärdatei
...

Macht es einen Sinn, diese Dateien rigoros zu löschen?

[debilian]

Macht es einen Sinn, diese Dateien rigoros zu löschen?

wech damit!

[JTH]

Ich suche in dem besagten Profile:

Code: Alles auswählen

cd ~/.cache/mozilla/firefox/guf80m5f.default-1466237419279$

Damit suchst du im Browsercache, nicht im -profil. Dass du dort etwas findest, ist quasi garantiert, nachdem du die URL ja (unfreiwillig) aufgerufen hast.

Das Profil liegt in ~/.mozilla, dort müsstest du suchen, falls die Umleitung in irgendeiner Erweiterung oder so steckt:

Code: Alles auswählen

grep -ir 'cdnsure' ~/.mozilla

Macht es einen Sinn, diese Dateien rigoros zu löschen?

Einmal den Browsercache leeren würde diese Treffer wohl beseitigen, ja.

[JamesByrnes]

Den Browsercache habe ich bereits mehrfach geleert.

Ein erstes

Code: Alles auswählen

grep -ir --color -n 'cdnsure' .mozilla

ergab unter Anderem:

Code: Alles auswählen

.mozilla/firefox/guf80m5f.default-1466237419279/AlternateServices.txt:https:cdnsure.com:443:.:^partitionKey=%28https%2Cwelt.de%29:3       0       19414   https:cdnsure.com:443:cdnsure.com:443::n:1677394102:h3:n:1677394052:n:^partitionKey=%28https%2Cwelt.de%29:|n:y:

Das habe ich editiert.

Allerdings kommt diese URL immer noch, denn sie steckt noch hier drin:

Code: Alles auswählen

grep -ir --color -n 'cdnsure' .mozilla
grep: .mozilla/firefox/guf80m5f.default-1466237419279/permissions.sqlite: Übereinstimmungen in Binärdatei
grep: .mozilla/firefox/guf80m5f.default-1466237419279/places.sqlite-wal: Übereinstimmungen in Binärdatei
grep: .mozilla/firefox/guf80m5f.default-1466237419279/favicons.sqlite: Übereinstimmungen in Binärdatei
grep: .mozilla/firefox/guf80m5f.default-1466237419279/formhistory.sqlite: Übereinstimmungen in Binärdatei
grep: .mozilla/firefox/guf80m5f.default-1466237419279/sessionstore-backups/recovery.jsonlz4: Übereinstimmungen in Binärdatei
grep: .mozilla/firefox/guf80m5f.default-1466237419279/sessionstore-backups/previous.jsonlz4: Übereinstimmungen in Binärdatei
grep: .mozilla/firefox/guf80m5f.default-1466237419279/sessionstore-backups/recovery.baklz4: Übereinstimmungen in Binärdatei
grep: .mozilla/firefox/guf80m5f.default-1466237419279/storage/default/moz-extension+++4e3dfef3-3994-4bd2-b9bc-0cecd9d85144/idb/2615185460weesbasbiatteasd_.sqlite: Übereinstimmungen in Binärdatei
grep: .mozilla/firefox/guf80m5f.default-1466237419279/minidumps/3f054794-80e6-151d-7413-2f7afb144c7a.dmp: Übereinstimmungen in Binärdatei
grep: .mozilla/firefox/guf80m5f.default-1466237419279/minidumps/7e21af32-dd90-54b7-d278-280ce544463a.dmp: Übereinstimmungen in Binärdatei
grep: .mozilla/firefox/guf80m5f.default-1466237419279/places.sqlite: Übereinstimmungen in Binärdatei

[uname]

Schau hier:
https://support.mozilla.org/en-US/questions/1310302

Die Datei ist wohl dazu da festzulegen, was bei unverschlüsselten Aufrufen zu passieren hat. Würde ich vielleicht mal löschen (oder verschieben). Schau vorher wie alte die Datei ist. Vielleicht fällt dir dann ein, wie sie entstanden ist.

[JamesByrnes]

Ich hatte die Workstation jetzt zwei Stunden down. Okay? Jetzt starte ich sie wieder und will in Firefox "https://web.whatsapp.com/" aufrufen. Was kommt? Richtig:

http://www1.cdnsure.com/?tm=1&subid4=16 ... 0102890000

Heute Morgen ging "https://web.whatsapp.com/" problemlos. Irgendwie ist das ganze Firefox-Profil zerschossen. Diese URLs stehen in den Binärdateien drin. Frage ist nur, wie kriegt man das da wieder raus?

[TheChaosGR]

Ich hatte diese meldung seit heute 27.02.23 wo ich ein windows update machte , aber als ich einige video downloader deaktiviert hatte beim firefox gings wieder

[JamesByrnes]

Mittlerweile habe ich das gesamte .mozilla/firefox-Verzeichnis gelöscht und von einem Backup aus Januar 2023 zurückgespielt. Bei jedem Reiter den ich anklicke, erscheint:

http://www1.cdnsure.com/?tm=1&subid4=16 ... 0102890000

Und das Kuriose ist, das passiert auf Firefox meines Laptops mit Firefox 102.1.0esr. Das wird mir jetzt langsam unheimlich.

[JamesByrnes]

Okay,

ich habe diesem Spuk insoweit ein Ende bereitet, in dem ich ein komplett neues Profil angelegt habe. Die Lesezeichen konnte ich retten und die Add-Ons waren jetzt nicht das Schlimmste.

Interessieren würde mich dieser Spuk schon, wie das passieren konnte? Immerhin steht hinter http://www1.cdnsure.com/ eine echte Website.

[mvz]

Seit heute Vormittag 27.02.2023 habe ich bei Firefox ebenfalls das Phänomen festgestellt, dass nach Start die Startseite aufgerufen wird, aber während des Aufrufs auf die Seite cdnsure.com/... gewechselt wird.
Dies passiert an einem Firmenlaptop mit Win 10 ohne Admin-Rechte.

Nun habe ich wie User TheChaoeGR vorhandene Add-ons für Video-Downloader deaktiviert...anscheinend mit Erfolg. Das Problem tritt nicht mehr auf und auch die Google Suche ist wieder möglich (vorher Fehlermeldung wegen zu vielen Anfragen).

Alles sehr merkwürdig und nicht gerade beruhigend!

[JamesByrnes]

Alles sehr merkwürdig und nicht gerade beruhigend!

Sage ja, irgendwie seltsam. Kommt da irgendwas über die Firewalls herein?

[OrangeJuice]

Und das Kuriose ist, das passiert auf Firefox meines Laptops mit Firefox 102.1.0esr. Das wird mir jetzt langsam unheimlich.

Das ist die Version die du verwendest? "Version 102.0.1, first offered to Release channel users on July 6, 2022(Link)"

Du kannst dir ja mal die release note seit Version 102.0.1 von Mozilla durchlesen(Link). Mich wundert es nicht, dass es zu Problemen kommt, es wurden sehr viele kritische Lücken geschlossen(Score 8.8 CVE-2022-46871...).

CVE-2023-23598: Arbitrary file read from GTK drag and drop on Linux

Reporter
Tom Schuster
Impact
high

Description

Due to the Firefox GTK wrapper code's use of text/plain for drag data and GTK treating all text/plain MIMEs containing file URLs as being dragged a website could arbitrarily read a file via a call to DataTransfer.setData.
Quelle

[JamesByrnes]

Das ist die Version die du verwendest? "Version 102.0.1, first offered to Release channel users on July 6, 2022(Link)"

Falsch, das ist die des Laptops! Die Workstation hat eine ganz Andere.

[OrangeJuice]

Dann ist ja alles gut.