Forum: Offtopic Ebay Automatische Weiterleitung auf dubioses Gewinnspiel

Hatte ich vorhin auch.
Hab die free-rewards.club in der Hostsdatei geblockt.

Ich hab natürlich an ein Wurm oder an ein Plugin was sich heimlich 
installiert hat gedacht und einen gründlichen AV Scan durchgeführt.
Dieser hat nichts gefunden.

Die Seite scheint eine Sicherheitslücke auszunutzen!
Mit der Hosts lässt die sich nicht Blocken.
Ich werde mir mal wenn die Seite wieder erscheint den Quelltext ansehen.

In Moment hilft wohl nur ein Scriptblocker wo mit man einzelne Elemente 
bei Ebay Blockt.

So ich hatte ein wenig weiter rumprobiert bei Ebay.
Scheinbar wird von der Free-reward.club Seite zu weiteren Seiten 
verlinkt.
Zu einen zu play.leadzupc.com (Mit HTTPS davor) wovon dann wiederum 
weiter zu Dubiosen Seiten Weitergeleitet wird wo man SMS Abos abschließt 
und auch zu Seiten wo man seine Adresse und Telefonnummer angibt.(Cold 
Calls und Dubiose Rechnungen)
Die Server stehen zum Teil in Deutschland und den Niederlanden.

Gut das ich diese Forschungen auf ein Linuxsystem durchführe! ;-)

Ich hab mal denn noch zum Test alle gefundenen Adressen in der Hosts 
geblockt.

Michael M. schrieb:
> Gut das ich diese Forschungen auf ein Linuxsystem durchführe! ;-)

Keine Probleme hier mit Win32 (XP und 7), Seamonkey und lediglich 
Session Cookies. Habe allerdings eine seit vielen Jahren gepflegte hosts 
Datei.

Bei mir auch.... Trojan Remover und adwcleaner haben nix gefunden.

Ja gestern oder vorgestern ging das los... Heute hatte ich das noch 
nicht.

Ich hab mal weiter im Quelltext der free-rewards.club gesucht.
Scheinbar gibt es bei Ebay ein Script der die Seite Laden lässt.
Und zwar Pulsar.Ebay.de.
Diese habe ich mit µblock Origin mal geblockt.

Ich hab dann mal auf einen Älteren Windows Rechner die Weiterleitung von 
der Free-rewards seite zur play.leadzupc.com weiter untersucht und 
festgestellt das über fast.ADSnewark.com weitergeleitet wird.

Nachdem ich nun die fast.adsnewark.com in die Hosts eingetragen habe 
scheint nun ruhe zu sein.

https://m.heise.de/newsticker/meldung/Angriff-der-Nerv-Pop-Ups-Klicken-Sie-auf-OK-um-Ihren-Preis-zu-erhalten-3797422.html?artikelseite=all

Ich hatte das vor 2 Monaten auf meinem Android-Handy, ständige 
Umleitungen bei e.bay ("Klicken Sie auf OK..."); in irgend einem Forum 
kam der Tipp sich auf 
http://www.youronlinechoices.com/de/praferenzmanagement/ bei sämtlichen 
Online-Werbeagenturen auszutragen. Siehe auch 
https://de.wikipedia.org/wiki/Your_Online_Choices

Hat soweit ganz gut geholfen, wurde von dem Unsinn bisher nicht mehr 
behelligt.

Edit: e.bay funktioniert auf dem Desktoprechner absolut unauffällig, 
keine Probleme.

Die Einträge in die Hosts hab ich mal als Bild an gehangen.
So sind die Links zur Sicherheit nicht Anklickbar.
Mit diesen Einträgen ist jetzt ruhe bei Ebay.

Seit wann kommt eine Protokollangabe mit in die Host-Datei?

Man kann in der Hosts infos zu den jeweiligen Einträgen vornehmen indem 
man nach dem Eintrag eine Raute Setzt.
Alles was nach der Raute kommt wird ignoriert.

Oben in der Hosts ist das auch nochmal erklärt mit der #.

Michael M. schrieb:
> Mit diesen Einträgen ist jetzt ruhe bei Ebay.

Naja, ich werde trotzdem weitergeleitet, allerdings meldet Chrome dann, 
dass "chanelets-aurning.com" die Verbindung abgelehnt hat...

Da bleibt mir wohl nur die App.

Ich hab bei µblock Origin zusätzlich Pulsar.Ebay.de und 
fast.adsnewark.com geblockt.

Michael M. schrieb:
> Ich hab bei µblock Origin zusätzlich Pulsar.Ebay.de und
> fast.adsnewark.com geblockt.

Habe ich nun auch. Die Weiterleitung besteht weiterhin, allerdings 
meckert jetzt auch uBlock, dass das Laden der Seite blockiert wurde.

Komisch, bei mir funktioniert das.
Kann auch am Browser liegen das der irgend was macht.
Ich nutze den FF 52.5 ESR und da hab ich keine Probleme.
Selbst der IE bleibt unauffällig wenn ich Ebay öffne.

Michael M. schrieb:
> Man kann in der Hosts infos zu den jeweiligen Einträgen vornehmen indem
> man nach dem Eintrag eine Raute Setzt.
> Alles was nach der Raute kommt wird ignoriert.
>
> Oben in der Hosts ist das auch nochmal erklärt mit der #.

Darum geht es nicht. Die Hosts-Datei dient aber der Namensauflösung und 
wird üblicherweise befragt, bevor ein externer Domain Name Service (DNS) 
befragt wird. Deswegen gehören in die Hosts-Datei nur die Domainnamen, 
nicht aber die Angabe des Protokolls.

Habe, in den letzten Wochen, schon vereinzelt soetwas gehabt, massiv 
aufgetreten ist es bei mir am Freitag, und am Samstag (gestern). Am 
Freitag war es aber eine andere Ziel-Domain. Habe es dann auch in die 
Hosts-Datei eingetragen, so wurde die Seite zwar nicht geladen, aber 
dafür kam halt die Fehler-Seite, sodaß die aufgerufene Listen-, oder 
Artikelseite trotzdem weg war. Habe dann, als Notbehelf, das laden der 
Werbe-Seite immer, rechtzeitig, manuell abgebrochen. Damit liess sich 
ebay weiter nutzen. Diese Werbung wird wohl nicht in allen Kategorien 
geschaltet, mir ist es vorallem bei Kleidung aufgefallen.

Wann wird so ein Unfug endlich mal verboten. Am besten mit Strafen, die 
die Werbeeinnahmen von 3 Monaten auffressen! Die Werbe-Industrie gehören 
endlich mal deutliche Grenzen gesetzt. Und die Firmen sollten das Geld, 
daß sie den Werbe-Agenturen in den Rachen werfen mal lieber in die 
Entwicklungsabteilungen stecken, und in bessere Fertigungsqualität 
investieren. Ein herausragend gutes Produkt braucht keine Werbung, und 
der Kunde hat davon auch noch einen Nutzen, im Gegensatz zur Werbung, 
die inzwischen immer mehr nervt.

Mit freundlichen Grüßen - Martin

Michael M. schrieb:
> Alles was nach der Raute kommt wird ignoriert.

Keine Politik!

:)

MfG Paul

Michael M. schrieb:
> Ich hab mal weiter im Quelltext

Danke! Obwohl ich nicht betroffen war, hat meine hosts jetzt ein paar 
neue Einträge - allerdings natürlich ohne die Angabe eines Protokolls.

Sorry war ein Missverständnis meinerseits mit den Protokolleinträgen in 
der Hosts.

Diese hab ich jetzt bereinigt.