Wer derzeit versucht die Webseite des Blogvermarktes Trigami.com aufzurufen, dürfte eine böse Überraschung erleben. Im besten Fall endet er vor der Warnung des eigenen Virenschutzprogrammes (oder wie in der Grafik unten der Google Warnung). Allerdings scheint nicht Trigami selbst das Problem zu sein. Google schreibt, das keine Malware auf der Seite gefunden wurde, wohl aber über die Seite andere Seiten infiziert wurden:
Hat diese Website als Überträger zur Weiterverteilung von Malware fungiert?
In den letzten 90 Tagen hat trigami.com offenbar als Überträger für die Infektion von 7 Website(s) fungiert, darunter geocaching-franken.de/, whitesences.bplaced.net/, tippstrix.blogspot.com/.
Hat diese Website Malware gehostet?
Ja, diese Website hat in den letzten 90 Tagen Malware gehostet. Sie hat 7 Domain(s) infiziert, darunter geocaching-franken.de/, whitesences.bplaced.net/, bleibejung.de/.
(Quelle)
Das dürfte für Trigami ein größeres Problem sein. Noch größer ist allerdings das Problem für die Nutzer des Dienstes. Wie Eisy schreibt werden nämlich nicht nur die eigenen Seiten von Trigami blockiert sondern auch Seiten die einen Review für Trigami geschrieben haben. Schuld daran ist der Trigami Code der zusätzlich zum Artikel eingefügt werden muss und der von Google ebenfalls als gefährlich eingestuft wird. Damit sind nicht nur die Trigami Seiten nicht mehr erreichbar sondern auch viele Nutzer Seiten – ein GAU für den Blogvermarkter.
Es scheint dabei als wäre nicht die Seite von Trigami infiziert sonder eher der Werbeserver über den die Codes ausgeliefert wurden. Eventuell ein ähnliches Problem wie bei den Angriffen auf OpenX-Systeme.
Was können betroffene Webmaster tun?
Trotz der AGB von Trigami die eigentlich eine Enfernung des Codes nicht zulassen würde ich (genau wie Eisy) den kompromittierenden Code sofort von der Seite entfernen und eine erneute Malware Prüfung bei Google beantragen. Das geht am einfachsten per Webmastertool.
Montag, 2. August 2010 / 20.00 Uhr
Liebe Blogger
Am letzten Samstag wurde unseren AdServer zum Opfer eines Hackerangriffs. Dabei wurde schadhafter Code integriert, welcher mit unseren Werbebannern im Internet verteilt wurde. Als Folge davon, haben bei Google die „Alarmglocken“ geläutet und http://www.trigami.com wurde auf die Schwarze Liste gesetzt, was wiederum zur Folge hatte, dass alle Surfer, die mit FireFox und anderen Browsern auf unsere Seite kamen, mit einer Sicherheitswarnung konfrontiert wurden (ausgenommen Benutzer des Internet Explorers).
Leider haben wir erst heute Montag früh davon Kenntnis erlangt, obwohl die Blogosphäre schon das ganze Wochenende darüber berichtet hat. Durch diverse Ferienabwesenheiten und dem Schweizer Nationalfeiertag, welcher just auch an diesem Wochenende stattfand, konnten wir nicht früher reagieren. Wir bitte Euch darum an dieser Stelle ausdrücklich um Entschuldigung.
Da die Sicherheitslücke in unserem AdServer nicht zu 100% geschlossen werden konnte, haben wir uns entschieden, den Server vom Netz zu nehmen. D.H. es werden im Moment keine Banner mehr ausgeliefert. Vereinzelt kann dies bedeuten, dass auf den entsprechenden Seiten – anstatt der Banner – eine Fehlermeldung „Objekt nicht gefunden“ angezeigt wird. Aktuell sind wir daran, die betroffenen Seitenbetreiber persönlich zu kontaktieren.
Bei Google haben wir die nötigen Schritte bereits heute Vormittag um 10 Uhr eingeleitet, damit wir wieder freigeschalten werden. Leider ist dies bis zum jetzigen Zeitpunkt noch nicht erfolgt, wir rechnen aber jeden Moment damit.
Was bedeutet dies nun für Dich als Blogger:
Auch einige Blogs wurden übers Wochenende auf die Schwarze Liste gesetzt, da diese Banner oder Beiträge von uns Publiziert haben und durch die Verlinkung auf unsere Seiten, quasi den schlechten „Ruf“ der Schwarzen Liste mit geerbt haben. Nach unserem Kenntnisstand, sind aber mittlerweile alle Blogs wieder „Normal“ erreichbar. Zur Sicherheit überprüft bitte unbedingt Euren Blog mit dem FireFox. Solltet Ihr trotzdem Bedenken haben und lieber abwarten wollen, bis alles wieder „normal“ läuft, ist es Euch freigestellt, die Trigami Blogbeiträge zwischenzeitlich auf Entwurf oder Privat zu setzten. Selbstverständlich ohne Folgen für Euch.
Zwischenzeitlich haben uns viele Beiträge und E-Mails erreicht, bitte habt Verständnis dafür, dass wir nicht sofort alle beantworten können.
Euer Trigami-Team
PS: Den aktuellen Stand könnt Ihr jeweils über unseren Tweet oder Blog erfahren (Zugang mit IEX geht).
Hi, ich war heute auch recht erschrocken, zumal im Chrome auch Blogs, welche das Script eingebunden haben gesperrt werden.
Ich vermute, dort hat ein Angreifer die Openx Sicherheitslücke ausgnutzt, da die bisherigen Informationen genau zu diesem Angriffsschema passen. Mehr Informationen dazu http://www.elexpress.de/archives/2010/08/02/trigami-com-und-blogs-mit-trigami-script-gesperrt-mogliche-ursache/
ja hört sich ganz nach der OpenX Lücke an. Aber warum haben die dann den Server vom Netz genommen anstatt die DB abzusichern?
Und vor allem: Wieso nutzt Trigami löchrige Freeware als Adserver, sofern tatsächlich OpenX genutzt wurde???