[TEILS GELÖST] phpMyadmin in Firefox wechselt zu http://cdnsure.com/assets/wmv
-
- Beiträge: 109
- Registriert: 24.11.2021 11:11:04
[TEILS GELÖST] phpMyadmin in Firefox wechselt zu http://cdnsure.com/assets/wmv
Hallo,
ich erlebe gerade etwas Seltsames. Auf meiner Linux-Workstation Debian 11 mit
MariaDB, arbeite ich mit phpMyAdmin um SQL zu testen. Seit heute erlebe ich,
wenn ich eine Datenbank auswähle, dass nach ca. 10 Sekunden dieser Link
aufgerufen wird:
http://cdnsure.com/assets/wmv?gp=1&js=1 ... AiZTBiMCJ9
Im Browserfenster sehe ich dann “5ox”. Das passiert erst seit heute in einem
Firefox ESR 102.8.0esr.
Was ist das? In den Apache-Logs finde ich absolut nichts. Im Chrome passiert
das nicht.
Viele Grüße
James
ich erlebe gerade etwas Seltsames. Auf meiner Linux-Workstation Debian 11 mit
MariaDB, arbeite ich mit phpMyAdmin um SQL zu testen. Seit heute erlebe ich,
wenn ich eine Datenbank auswähle, dass nach ca. 10 Sekunden dieser Link
aufgerufen wird:
http://cdnsure.com/assets/wmv?gp=1&js=1 ... AiZTBiMCJ9
Im Browserfenster sehe ich dann “5ox”. Das passiert erst seit heute in einem
Firefox ESR 102.8.0esr.
Was ist das? In den Apache-Logs finde ich absolut nichts. Im Chrome passiert
das nicht.
Viele Grüße
James
Zuletzt geändert von JamesByrnes am 27.02.2023 15:14:18, insgesamt 1-mal geändert.
Re: phpMyadmin in Firefox wechselt zu http://cdnsure.com/assets/wmv
Komisches Browser-Addon installiert? Malware in der phpmyadmin-Installation? Klingt nicht vertrauenswürdig.
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
-
- Beiträge: 109
- Registriert: 24.11.2021 11:11:04
Re: phpMyadmin in Firefox wechselt zu http://cdnsure.com/assets/wmv
Ich sagte, dass das von einem Tag auf den Anderen geschehen ist. phpMyadmin ist unverändert seit Dezember 2022 und zusätzliche Browser-Addons habe ich auch seit langem nicht mehr installiert.TRex hat geschrieben:27.02.2023 09:21:02Komisches Browser-Addon installiert? Malware in der phpmyadmin-Installation? Klingt nicht vertrauenswürdig.
Re: phpMyadmin in Firefox wechselt zu http://cdnsure.com/assets/wmv
Gehacktes Wordpress oder so auf dem gleichen Host macht sowas auch möglich. Du kannst auch den ausgelieferten Code auf die domain untersuchen und systematisch vorgehen - das kann ich dir aber nicht abnehmen.JamesByrnes hat geschrieben:27.02.2023 09:29:21Ich sagte, dass das von einem Tag auf den Anderen geschehen ist.
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
-
- Beiträge: 109
- Registriert: 24.11.2021 11:11:04
Re: phpMyadmin in Firefox wechselt zu http://cdnsure.com/assets/wmv
Sehr witzig! Ich sprach eingangs von meiner Workstation, das PHP, MariaDB etc. ist auf dieser Maschine und nicht irgendwo im Internet.TRex hat geschrieben:27.02.2023 09:44:19Gehacktes Wordpress oder so auf dem gleichen Host macht sowas auch möglich. Du kannst auch den ausgelieferten Code auf die domain untersuchen und systematisch vorgehen - das kann ich dir aber nicht abnehmen.
Re: phpMyadmin in Firefox wechselt zu http://cdnsure.com/assets/wmv
und du gibst ein ?
Code: Alles auswählen
http://localhost/phpmyadmin
-- nichts bewegt Sie wie ein GNU --
Re: phpMyadmin in Firefox wechselt zu http://cdnsure.com/assets/wmv
Warum? Die meisten gehackten Systeme (wobei vor allen Windows) sind auch in lokalen Netzen hinter NAT-Router/Firewalls.JamesByrnes hat geschrieben:Sehr witzig!
Du könntest mal den gesamten Code rekursiv durchgreppen. Vielleicht findest du ja was.
Verwende evtl. auch ein anderen Benutzer (Browserprofil) und deinstalliere alle Plugins.
Da es nur im Firefox passiert, such vor allen im Firefox den Fehler.
Du kannst auch mal die Taste F12 drücken und dort auf Netzwerkanalyse usw. wechseln.
-
- Beiträge: 109
- Registriert: 24.11.2021 11:11:04
Re: phpMyadmin in Firefox wechselt zu http://cdnsure.com/assets/wmv
Nur zum Teil. Beidebilian hat geschrieben:27.02.2023 10:19:53und du gibst ein?Code: Alles auswählen
http://localhost/phpmyadmin
http://localhost/phpmyadmin/index.php?route=/&route=%2F
passiert gar nichts.
Bei
http://localhost/phpmyadmin/index.php?r ... kel2&pos=0
springt sofort dieser ominöse Link ein. Aber nur bei Firefox!
Re: phpMyadmin in Firefox wechselt zu http://cdnsure.com/assets/wmv
irgendwelche proxy settings im FF?
-- nichts bewegt Sie wie ein GNU --
-
- Beiträge: 109
- Registriert: 24.11.2021 11:11:04
Re: phpMyadmin in Firefox wechselt zu http://cdnsure.com/assets/wmv
Zum Browserprofil kann ich soviel sagen, dass hier das Problem nicht auftritt (gleicher Firefox, gleiche Datenbank).uname hat geschrieben:27.02.2023 10:21:16Verwende evtl. auch ein anderen Benutzer (Browserprofil) und deinstalliere alle Plugins.
Da es nur im Firefox passiert, such vor allen im Firefox den Fehler.
Du kannst auch mal die Taste F12 drücken und dort auf Netzwerkanalyse usw. wechseln.
Netzwerkanalyse in den Entwicklertools (F12 funktioniert nicht bei jedem) zeigt zwar den lokalen Traffic aber nicht den Schritt zu dieser URL.
Ich würde jetzt darauf tippen, dass irgendwie dieser Link an irgendeiner Stelle in meinem Default-Profile steckt.
-
- Beiträge: 109
- Registriert: 24.11.2021 11:11:04
Re: phpMyadmin in Firefox wechselt zu http://cdnsure.com/assets/wmv
Na dann, wäre das bereits die gesamte Zeit aufgetreten und nicht erst seit gestern. Und dann wüsste ich, dass ich was verändert habe.
-
- Beiträge: 109
- Registriert: 24.11.2021 11:11:04
Re: phpMyadmin in Firefox wechselt zu http://cdnsure.com/assets/wmv
Ich suche in dem besagten Profile:
Dann bekomme ich
Macht es einen Sinn, diese Dateien rigoros zu löschen?
Code: Alles auswählen
cd ~/.cache/mozilla/firefox/guf80m5f.default-1466237419279$
grep -R -i --color 'cdnsure' *
Code: Alles auswählen
grep: cache2/entries/755A5F9C069EBF2C54F1118660682046E4E7F1DF: Übereinstimmungen in Binärdatei
grep: cache2/entries/A4F6FD82B85D71A80BF86B13826AFE7099BB4B1C: Übereinstimmungen in Binärdatei
grep: cache2/entries/58AB053B1DAF93CEF6DD39057002C42F13C6BFA1: Übereinstimmungen in Binärdatei
grep: cache2/entries/A7E3EDCA25B8A20796D32265FFAFA4D1861DB545: Übereinstimmungen in Binärdatei
grep: cache2/entries/3CCF3D9B3C7B584E917D1361527995139D9B368D: Übereinstimmungen in Binärdatei
grep: cache2/entries/5A3F91DCA3517D09D9F8F6EED8CD34C24BEF16AF: Übereinstimmungen in Binärdatei
grep: cache2/entries/DCE437479742E49A28868F3433385C3F8FDF021C: Übereinstimmungen in Binärdatei
grep: cache2/entries/820EC1A9CE3FF39E65575ABADA7B1E56F9B4AD63: Übereinstimmungen in Binärdatei
grep: cache2/entries/D8BF23E5CC00C4AC23BD0ABCF76AE25EB71576B3: Übereinstimmungen in Binärdatei
grep: cache2/entries/A259340A4559CDF28C462C3B7334104EE70F6FB1: Übereinstimmungen in Binärdatei
grep: cache2/entries/BB07A99595516B50E93232461B79F119019E1E73: Übereinstimmungen in Binärdatei
...
Re: phpMyadmin in Firefox wechselt zu http://cdnsure.com/assets/wmv
wech damit!Macht es einen Sinn, diese Dateien rigoros zu löschen?
-- nichts bewegt Sie wie ein GNU --
Re: phpMyadmin in Firefox wechselt zu http://cdnsure.com/assets/wmv
Damit suchst du im Browsercache, nicht im -profil. Dass du dort etwas findest, ist quasi garantiert, nachdem du die URL ja (unfreiwillig) aufgerufen hast.JamesByrnes hat geschrieben:27.02.2023 11:16:27Ich suche in dem besagten Profile:Code: Alles auswählen
cd ~/.cache/mozilla/firefox/guf80m5f.default-1466237419279$
Das Profil liegt in ~/.mozilla, dort müsstest du suchen, falls die Umleitung in irgendeiner Erweiterung oder so steckt:
Code: Alles auswählen
grep -ir 'cdnsure' ~/.mozilla
Einmal den Browsercache leeren würde diese Treffer wohl beseitigen, ja.JamesByrnes hat geschrieben:27.02.2023 11:16:27Macht es einen Sinn, diese Dateien rigoros zu löschen?
Manchmal bekannt als Just (another) Terminal Hacker.
-
- Beiträge: 109
- Registriert: 24.11.2021 11:11:04
Re: phpMyadmin in Firefox wechselt zu http://cdnsure.com/assets/wmv
Den Browsercache habe ich bereits mehrfach geleert.
Ein erstes
ergab unter Anderem:
Das habe ich editiert.
Allerdings kommt diese URL immer noch, denn sie steckt noch hier drin:
Ein erstes
Code: Alles auswählen
grep -ir --color -n 'cdnsure' .mozilla
Code: Alles auswählen
.mozilla/firefox/guf80m5f.default-1466237419279/AlternateServices.txt:https:cdnsure.com:443:.:^partitionKey=%28https%2Cwelt.de%29:3 0 19414 https:cdnsure.com:443:cdnsure.com:443::n:1677394102:h3:n:1677394052:n:^partitionKey=%28https%2Cwelt.de%29:|n:y:
Allerdings kommt diese URL immer noch, denn sie steckt noch hier drin:
Code: Alles auswählen
grep -ir --color -n 'cdnsure' .mozilla
grep: .mozilla/firefox/guf80m5f.default-1466237419279/permissions.sqlite: Übereinstimmungen in Binärdatei
grep: .mozilla/firefox/guf80m5f.default-1466237419279/places.sqlite-wal: Übereinstimmungen in Binärdatei
grep: .mozilla/firefox/guf80m5f.default-1466237419279/favicons.sqlite: Übereinstimmungen in Binärdatei
grep: .mozilla/firefox/guf80m5f.default-1466237419279/formhistory.sqlite: Übereinstimmungen in Binärdatei
grep: .mozilla/firefox/guf80m5f.default-1466237419279/sessionstore-backups/recovery.jsonlz4: Übereinstimmungen in Binärdatei
grep: .mozilla/firefox/guf80m5f.default-1466237419279/sessionstore-backups/previous.jsonlz4: Übereinstimmungen in Binärdatei
grep: .mozilla/firefox/guf80m5f.default-1466237419279/sessionstore-backups/recovery.baklz4: Übereinstimmungen in Binärdatei
grep: .mozilla/firefox/guf80m5f.default-1466237419279/storage/default/moz-extension+++4e3dfef3-3994-4bd2-b9bc-0cecd9d85144/idb/2615185460weesbasbiatteasd_.sqlite: Übereinstimmungen in Binärdatei
grep: .mozilla/firefox/guf80m5f.default-1466237419279/minidumps/3f054794-80e6-151d-7413-2f7afb144c7a.dmp: Übereinstimmungen in Binärdatei
grep: .mozilla/firefox/guf80m5f.default-1466237419279/minidumps/7e21af32-dd90-54b7-d278-280ce544463a.dmp: Übereinstimmungen in Binärdatei
grep: .mozilla/firefox/guf80m5f.default-1466237419279/places.sqlite: Übereinstimmungen in Binärdatei
Re: phpMyadmin in Firefox wechselt zu http://cdnsure.com/assets/wmv
Schau hier:
https://support.mozilla.org/en-US/questions/1310302
Die Datei ist wohl dazu da festzulegen, was bei unverschlüsselten Aufrufen zu passieren hat. Würde ich vielleicht mal löschen (oder verschieben). Schau vorher wie alte die Datei ist. Vielleicht fällt dir dann ein, wie sie entstanden ist.
https://support.mozilla.org/en-US/questions/1310302
Die Datei ist wohl dazu da festzulegen, was bei unverschlüsselten Aufrufen zu passieren hat. Würde ich vielleicht mal löschen (oder verschieben). Schau vorher wie alte die Datei ist. Vielleicht fällt dir dann ein, wie sie entstanden ist.
-
- Beiträge: 109
- Registriert: 24.11.2021 11:11:04
Re: phpMyadmin in Firefox wechselt zu http://cdnsure.com/assets/wmv
Ich hatte die Workstation jetzt zwei Stunden down. Okay? Jetzt starte ich sie wieder und will in Firefox "https://web.whatsapp.com/" aufrufen. Was kommt? Richtig:
http://www1.cdnsure.com/?tm=1&subid4=16 ... 0102890000
Heute Morgen ging "https://web.whatsapp.com/" problemlos. Irgendwie ist das ganze Firefox-Profil zerschossen. Diese URLs stehen in den Binärdateien drin. Frage ist nur, wie kriegt man das da wieder raus?
http://www1.cdnsure.com/?tm=1&subid4=16 ... 0102890000
Heute Morgen ging "https://web.whatsapp.com/" problemlos. Irgendwie ist das ganze Firefox-Profil zerschossen. Diese URLs stehen in den Binärdateien drin. Frage ist nur, wie kriegt man das da wieder raus?
-
- Beiträge: 1
- Registriert: 27.02.2023 14:35:48
Re: phpMyadmin in Firefox wechselt zu http://cdnsure.com/assets/wmv
Ich hatte diese meldung seit heute 27.02.23 wo ich ein windows update machte , aber als ich einige video downloader deaktiviert hatte beim firefox gings wieder
-
- Beiträge: 109
- Registriert: 24.11.2021 11:11:04
Re: phpMyadmin in Firefox wechselt zu http://cdnsure.com/assets/wmv
Mittlerweile habe ich das gesamte .mozilla/firefox-Verzeichnis gelöscht und von einem Backup aus Januar 2023 zurückgespielt. Bei jedem Reiter den ich anklicke, erscheint:
http://www1.cdnsure.com/?tm=1&subid4=16 ... 0102890000
Und das Kuriose ist, das passiert auf Firefox meines Laptops mit Firefox 102.1.0esr. Das wird mir jetzt langsam unheimlich.
http://www1.cdnsure.com/?tm=1&subid4=16 ... 0102890000
Und das Kuriose ist, das passiert auf Firefox meines Laptops mit Firefox 102.1.0esr. Das wird mir jetzt langsam unheimlich.
-
- Beiträge: 109
- Registriert: 24.11.2021 11:11:04
Re: phpMyadmin in Firefox wechselt zu http://cdnsure.com/assets/wmv
Okay,
ich habe diesem Spuk insoweit ein Ende bereitet, in dem ich ein komplett neues Profil angelegt habe. Die Lesezeichen konnte ich retten und die Add-Ons waren jetzt nicht das Schlimmste.
Interessieren würde mich dieser Spuk schon, wie das passieren konnte? Immerhin steht hinter http://www1.cdnsure.com/ eine echte Website.
ich habe diesem Spuk insoweit ein Ende bereitet, in dem ich ein komplett neues Profil angelegt habe. Die Lesezeichen konnte ich retten und die Add-Ons waren jetzt nicht das Schlimmste.
Interessieren würde mich dieser Spuk schon, wie das passieren konnte? Immerhin steht hinter http://www1.cdnsure.com/ eine echte Website.
Re: phpMyadmin in Firefox wechselt zu http://cdnsure.com/assets/wmv
Seit heute Vormittag 27.02.2023 habe ich bei Firefox ebenfalls das Phänomen festgestellt, dass nach Start die Startseite aufgerufen wird, aber während des Aufrufs auf die Seite cdnsure.com/... gewechselt wird.
Dies passiert an einem Firmenlaptop mit Win 10 ohne Admin-Rechte.
Nun habe ich wie User TheChaoeGR vorhandene Add-ons für Video-Downloader deaktiviert...anscheinend mit Erfolg. Das Problem tritt nicht mehr auf und auch die Google Suche ist wieder möglich (vorher Fehlermeldung wegen zu vielen Anfragen).
Alles sehr merkwürdig und nicht gerade beruhigend!
Dies passiert an einem Firmenlaptop mit Win 10 ohne Admin-Rechte.
Nun habe ich wie User TheChaoeGR vorhandene Add-ons für Video-Downloader deaktiviert...anscheinend mit Erfolg. Das Problem tritt nicht mehr auf und auch die Google Suche ist wieder möglich (vorher Fehlermeldung wegen zu vielen Anfragen).
Alles sehr merkwürdig und nicht gerade beruhigend!
-
- Beiträge: 109
- Registriert: 24.11.2021 11:11:04
Re: phpMyadmin in Firefox wechselt zu http://cdnsure.com/assets/wmv
Sage ja, irgendwie seltsam. Kommt da irgendwas über die Firewalls herein?
- OrangeJuice
- Beiträge: 625
- Registriert: 12.06.2017 15:12:40
Re: phpMyadmin in Firefox wechselt zu http://cdnsure.com/assets/wmv
Das ist die Version die du verwendest? "Version 102.0.1, first offered to Release channel users on July 6, 2022(Link)"JamesByrnes hat geschrieben:27.02.2023 14:40:55Und das Kuriose ist, das passiert auf Firefox meines Laptops mit Firefox 102.1.0esr. Das wird mir jetzt langsam unheimlich.
Du kannst dir ja mal die release note seit Version 102.0.1 von Mozilla durchlesen(Link). Mich wundert es nicht, dass es zu Problemen kommt, es wurden sehr viele kritische Lücken geschlossen(Score 8.8 CVE-2022-46871...).
CVE-2023-23598: Arbitrary file read from GTK drag and drop on Linux
Reporter
Tom Schuster
Impact
high
Description
Due to the Firefox GTK wrapper code's use of text/plain for drag data and GTK treating all text/plain MIMEs containing file URLs as being dragged a website could arbitrarily read a file via a call to DataTransfer.setData.
Quelle
-
- Beiträge: 109
- Registriert: 24.11.2021 11:11:04
Re: phpMyadmin in Firefox wechselt zu http://cdnsure.com/assets/wmv
Falsch, das ist die des Laptops! Die Workstation hat eine ganz Andere.OrangeJuice hat geschrieben:27.02.2023 16:13:16
Das ist die Version die du verwendest? "Version 102.0.1, first offered to Release channel users on July 6, 2022(Link)"
- OrangeJuice
- Beiträge: 625
- Registriert: 12.06.2017 15:12:40
Re: [TEILS GELÖST] phpMyadmin in Firefox wechselt zu http://cdnsure.com/assets/wmv
Dann ist ja alles gut.