Quttera potentially suspicious files

Morpheus97

Cadet 3rd Year
Registriert
Juni 2017
Beiträge
46
Hallo Leute,
Quttera (Dienst von Virustotal) zeigt bei vielen Seiten "potentially suspicious files" an. Meistens irgendwas mit "Detected potentially suspicious initialization of function pointer to JavaScript method" sollte man sich darum Gedanken machen oder eher nicht?
MfG
 
Meine erste Vermutung wäre veraltete Scripte auf Webseiten die von neueren Java Versionen nicht mehr unterstützt werden. Aber ohne genauere Fehlerbeschreibung wüsste ich auch nicht weiter, ob es nun schlimm oder harmlos ist.

lg
fire
 
Java halt.. heutzutage braucht ein Normalo kein Java mehr, außer er spielt Minecraft :P..
 
Naja mein Beispiel (falls es jemand kennt) die Seite se7enSins.com, eigentlich ist das eine ziemlich seriöse Seite deswegen bin ich etwas verwundert :freak:.
 
Also ich gehe normal auf die Seite und erhalte keine Fehler. Per F12 sehe ich dann aber die JS Fehler. 2x Werbeskript blockiert, einmal ein Komma vergessen und einmal ein unbekannter Typ. Also nix besonderes.
 
Morpheus97 schrieb:
Quttera (Dienst von Virustotal)
Ja ne ist klar...
https://www.quttera.com/about schrieb:
Quttera, Ltd
C Building, 6 Hahoshlim St. 1st floor.
P.O.B 12006
Herzliya Pituach
Israel 4672201
Level 40, 100 Miller Street
Northpoint Tower
North Sydney
Australia NSW 2060
P(US): +1 (323) 540-5642
P(IL): +972 (0) 337-413-04
Toaster05 schrieb:
Java halt.. heutzutage braucht ein Normalo kein Java mehr, außer er spielt Minecraft :P..
Java != JavaScript (zum wievielten Male diesmal?)
Morpheus97 schrieb:
Naja mein Beispiel (falls es jemand kennt) die Seite se7enSins.com
https://virustotal.com/#/url/d6ce921ff3aac324a8c9faf86dcee0b7db626f6bdfd6ae78e46ad2bbca930686/detection schrieb:
0 / 65

No engines detected this URL
URL https://www.se7ensins.com/
Host www.se7ensins.com
Last analysis 2017-07-12 16:24:18 UTC
Weiterhin: Ich geb die URL mit https ein, der Report präsentiert mit http mit Port 80 (se7ensins leitet selbstständig auf https um!). Weiterhin...
Code:
<html><title>You are being redirected...</title>
<noscript>Javascript is required. Please enable javascript before you are allowed to see this page.</noscript>
<script>var s={},u,c,U,r,i,l=0,a,e=eval,w=String.fromCharCode,sucuri_cloudproxy_js='',S='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';L=S.length;U=0;r='';var A='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/';for(u=0;u<64;u++){s[A.charAt(u)]=u;}for(i=0;i<L;i++){c=s[S.charAt(i)];U=(U<<6)+c;l+=6;while(l>=8){((a=(U>>>(l-=8))&0xff)||(i<(L-2)))&&(r+=w(a));}}e(r);</script></html>
Bringt uns auf: https://sucuri.net/website-firewall/

Also kompletter Mist die Seite (Quttera).
 
Naja sagen wir mal die Seite ist unter Virustotal verlinkt ;).
Ja ist mir grad auch aufgefallen, https eingegeben undgescannt wird nur mit http, scheinbar utnerstützt das kein SSL.

Wie kommst du auf die Seite "Bringt uns auf: https://sucuri.net/website-firewall/" und wo hast du den Codeschnipsel her?
 
Der Code wird so 1:1 auf der http-Seite ausgeliefert. Auf die sucuri Seite komm ich, wegen ner Variablen im JS-Code: sucuri_cloudproxy_js.
 
Ich habe auch noscript aktiviert, aber komischerweise finde ich den Codeschnipsel den du gepostet hast nirgends. Könntest du nochmal erläutern wo dieser her ist?

Wenn ich mir den Code anschauen will der angeblich "verdächtig" sein soll, komme ich unter anderem ebenfalls auf dem String "sucuri_cloudproxy_js=' ' ". Das ist doch aber sicherlich kein Codeschnipsel von der Website "https://www.se7ensins.com/" oder doch?
 
Morpheus97 schrieb:
Ich habe auch noscript aktiviert, aber komischerweise finde ich den Codeschnipsel den du gepostet hast nirgends. Könntest du nochmal erläutern wo dieser her ist?
Code:
$ wget -O - http://www.se7ensins.com/
URL transformed to HTTPS due to an HSTS policy
--2017-08-14 10:15:25--  https://www.se7ensins.com/
Resolving www.se7ensins.com (www.se7ensins.com)... 2a02:fe80:1010::7:5, 192.124.249.107
Connecting to www.se7ensins.com (www.se7ensins.com)|2a02:fe80:1010::7:5|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]
Saving to: ‘STDOUT’

-                                 [<=>                                               ]       0  --.-KB/s               <html><title>You are being redirected...</title>
<noscript>Javascript is required. Please enable javascript before you are allowed to see this page.</noscript>
<script>var s={},u,c,U,r,i,l=0,a,e=eval,w=String.fromCharCode,sucuri_cloudproxy_js='',S='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';L=S.length;U=0;r='';var A='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/';for(u=0;u<64;u++){s[A.charAt(u)]=u;}for(i=0;i<L;i++){c=s[S.charAt(i)];U=(U<<6)+c;l+=6;while(l>=8){((a=(U>>>(l-=8))&0xff)||(i<(L-2)))&&(r+=w(a));}}e(r);</script></html>
-                                 [ <=>                                              ]   1.99K  --.-KB/s    in 0s

2017-08-14 10:15:26 (42.3 MB/s) - written to stdout [2040]
Morpheus97 schrieb:
Wenn ich mir den Code anschauen will der angeblich "verdächtig" sein soll, komme ich unter anderem ebenfalls auf dem String "sucuri_cloudproxy_js=' ' ".
Das was der Browser anzeigt, ist nicht das, was eigentlich abläuft. Wenn du zur genauen Arbeitsweise von Sucuri was wissen willst, dann lies dich auf deren Seite mal ein. Aber: Beim Aufruf der Seite wird halt geprüft, ob du ein Client bist, der die Seite ansehen will oder ein Bot, der die Seite evtl. nur zuspammen will. Ggf. gar einen DDOS abblocken soll. Einen DDOS selbst kann man nur "verhindern", wenn die Seite selbst mit mehr Bandbreite aufwartet, als die des Angriffs.

Cloudflare arbeitet ja nach dem selben Prinzip, nur kommt da noch ne "nette" Seite.
Code:
Checking your browser before accessing domain.tld.

This process is automatic. Your browser will redirect to your requested content shortly.
Please allow up to 5 seconds…"
Manche CDNs (Cloudflare?) bieten beim Einstieg in eine Seite auch gleich Captchas (wahrscheinlich nur nach x Aufrufen innerhalb einer Zeitspanne).
Morpheus97 schrieb:
Das ist doch aber sicherlich kein Codeschnipsel von der Website "https://www.se7ensins.com/" oder doch?
Doch, aber nicht von den Servern von se7ensins, sondern von Sucuri. Lies dich mal in CDNs und WAFs ein, ähnlich auch Akamai, Cloudflare und Co.

Weitere Lektüre: https://www.golem.de/news/hilfe-von...os-angriff-wieder-erreichbar-1609-123453.html
 
Ah also quasi mit Linux?
Ich dachte der Code steht 1:1 irgendwie bei Quttera drin.
 
Morpheus97 schrieb:
Ah also quasi mit Linux?
Jein. wget gibts auch für Windows, aber für mich ist es über die WSL einfacher erreichbar.
Morpheus97 schrieb:
Ich dachte der Code steht 1:1 irgendwie bei Quttera drin.
Steht er auch. Deaktivier JavaScript mal komplett im Browser.

se7ensins.png

NoScript halte ich sowieso für fragwürdig, aber das ist ein anderes Thema.
 
Weiß ich nicht, ich kenn die Seite nich. Aber wenn man heutzutage keine CDNs erkennen kann, sagt das schon etwas aus. Auch wenn HSTS (HTTPS only) ignoriert wird (vielleicht auch nur ein Anzeigefehler?), sagt das was. Keine Ahnung wie es um andere Seiten steht, die müsste man mal gegenprüfen. Die Werbung "Remove Malware Now" ist auch ein wenig... Super. Vom ersten Anschein nach nicht wirklich zu gebrauchen.

Nutz lieber Virustotal direkt wenn es denn sein muss. Und wenn da ein Treffer von 65 drin steht, kannst du vielleicht mal nachgucken, aber zum Großteil ist da wirklich nichts dabei. Sind ja nicht mal False Positives, die von anderen Seiten angezeigt werden. Erinnert ein wenig an Norton oder Kaspersky. :D Aber auch so ein Seitenscanner muss nichts sagen, denn man kann problemlos Content (und somit auch Schadcode) nicht ausliefern, wenn einer der Scanner unter Virustotal die Seite besucht.

Aber mal so gesagt: Auf irgendwelche Scanner kannst du dich sowieso nicht verlassen. Vieles (das Meiste?) kommt heut auch über Werbung (Angriff der Nerv-Pop-Ups: "Klicken Sie auf OK, um Ihren Preis zu erhalten") und selbst eigentlich seriöse Seiten wie PCGH oder Gamestar verteil(t)en darüber Malware...

Das einzig Sinnvolle hierbei ist auf seine Surfgewohnheit zu achten (nicht jedem Dreck anklicken und auch drei Mal schauen bevor man auf einen (nicht den) Download-Button klickt), AdBlocker installieren und nen aktuellen Browser verwenden, der halbwegs moderne Technik an Bord hat (Sandboxing, Auto Update, wo Lücken nicht monatelang offen stehen usw.), inkl. aktuellstem Patchstand vom OS.

Scriptblocker wenn man denn will, aber dann hat man ziemlich viel an der Backe und whitelistet dann gar viel zu viel und evtl. ist die Seite selbst ja mit Schadcode behaftet usw. usf. Kann was bringen, muss nichts, aber alles musst du selbst pflegen und niemand kann zu 100 % alle Scripte von jeder Seite zu jedem Zeitpunkt durchprüfen. NoScript war bei mir damals auch viel zu streng und so konnte ich bspw. nicht auf die DayZ Karten im Google Maps Stil zugreifen. Der Dreck flog dann runter und ich hab alle Einträge von NoScript aus meinem Profil entfernt. Danach lief es wieder...

CB liefert 16,9 KB JS-Code aus. Wenn wir nun rechnen, dass eine A4 Seite ca. 4,8 KB entspricht, müsstest du bei jedem Seitenaufruf (auch innerhalb von CB) vier Seiten Text lesen, die du auch noch verstehen und nachvollziehen können musst, eh du dir sicher sein kannst, dass dir nichts untergeschoben wurde. Komplett praxisfern.

Aber selbst das muss dich nicht vor Schaden bewahren. Von wichtigen Daten solltest du sowieso immer ein Backup haben für den Fall der Fälle.

Ganz ehrlich: Besuch eine Seite, schau dir an wie sie aussieht und auftritt, guck ggf. ins Impressum, sieh dir Alternativen an und vergleiche und dann kannst du weiterhin entscheiden, ob die Seite "gut" ist oder nicht.

Es geht wie in jedem anderen Fall einfach um Vertrauen.
 

Ähnliche Themen

Zurück
Oben