Hilfe zur Auswertung der FF-Konsolenmeldungen bzgl. Hinweisen auf Angriffe / Malware-Aktionen gesucht

Hallo zusammen,

benutze nun schon seit einiger Zeit die Browser-Konsole zum jeweils bedarfsweisen Aus- bzw. Einschalten von Javascript.

Seitdem ich auf einem meiner beiden benutzten Rechner vor 4 Wochen einem bösartigen Angriff ausgesetzt war, versuche ich nun schon seit längerer Zeit, im Web so etwas wie einleitende Hilfen zur bedarfsweisen Auswertung der ja überaus zahlreichen Meldungen der FF-Konsole zu finden.

Zumal wenn man davon ausgeht, dass schlimmstenfalls ja auch übler, persistenter Schrott auf dem Rechner gelandet sein könnte, könnten im Hinblick auf evtl. versuchte bzw. geglückte oder auch gescheiterte böswillige Aktionen die Konsolenmeldungen doch wohl eine absolute Fundgrube darstellen.

Weder im dt. noch im angelsächsischen Sprachraum war mir aber bislang auch nur der kleinste diesbzgl. Erfolg beschieden - und evtl. verdächtig erscheinende Meldungen zwecks genaueren Aufschlusses in die Suchmaschine einzugeben, schmeißt nur tonnenweise Seitenverweise ohne jeden sittlichen Nährwert aus.

Auch wenn ich mich eigentlich so langsam damit abfinden wollte, sehe ich das auch nach heutigen Mehrfachmeldungen etwa bzgl. irgendwelcher komischer Fehler aus diversen ominösen »Remote-Settings-Versuchen« wieder deutlich anders.

Deshalb meine Frage, ob es hier im Forum Leute entweder mit dem entsprechenden Hintergrund gibt, oder welche, die wissen, wo entspr. Informationen zu kriegen sein könnten?

Danke & Gruß

J

Hallo Sören,

danke für Deine obige Antwort. Ich fange mal mit Deiner entgegneten Frage an & arbeite mich dann weiter durch:

Zitat von Sören Hentzschel

Du schaltest JavaScript über die Browser-Konsole ein und aus? Wie denn das? Mal abgesehen davon, dass ich nicht verstehe, was das für ein „Bedarf” sein soll.

Ganz einfach, hätte ich fast gesagt - nämlich einmal über die Eingabe von:

Services.prefs.setBoolPref("javascript.enabled", true)

& sodann später wieder

Services.prefs.setBoolPref("javascript.enabled", false)

Die dann jeweils folgende Konsolennachricht <- undefined ist zwar etwas seltsam, aber die Umschaltung funktioniert.

Als ich mir das ausklamüsert hatte, hatte ich allerdings noch wenig bis nichts vom - inzw. installierten - NoScript-AddOn gehört.

Was den besagten Bedarf angeht, pflege ich Javascript - eigentlich - immer nur bei Vorliegen zweier Voraussetzungen einzuschalten, nämlich dass:

1. Die jeweilige Seite »mit ohne« nicht funktioniert

2. Ich der jeweiligen Seite über den Weg traue

Wie richtig das tatsächlich ist, musste ich Anfang Januar erkennen. Da hatte ich nämlich in einem Wust von 15 offenen Tabs wegen nur eines oder zweier davon Javascript aktiviert, dann aber wieder abzuschalten vergessen. Ob nun direkt betrügerisch betrieben oder von außen gekapert, weiß ich nicht - aber nach Aufruf eines neuen Suchergebnisses i. S. Programmierung fand ich mich unversehens auf eine iranische & Sekundenbruchteile später auf eine kasachische Webseite weitergeleitet (die es wohl schon wieder auch nicht mehr gibt). Ich frage mich seither - wenn man es schon schafft, jemanden auf eine Fraud-Seite zu lotsen, ohne hoffen zu müssen, dass der Depp vor dem Kasten meine Links anklickt - ob man es dann wirklich bei einem PopUp mit dem üblichen Scheiss bewenden läßt, den man aus irgendwelchem Spam kennt. Warum dann nicht auch zusehen, ob man nicht noch per drive-by-download nen kleinen rootkit installiert kriegt?

Auch wenn ich in dem besagten PopUp nix, aber auch gar nix (vgl. unsichtbare Buttons / iframes etc. pp.) angeklickt hatte & stattdessen den Tab jedenfalls im zweiten Anlauf einfach dichtmachen konnte, erklärt das sicherlich alles Weitere in meinem Post.

Zitat von Sören Hentzschel

Wie kommst du darauf, aus den Konsolen-Meldungen von Firefox etwas über einen Angriff auf dein System ableiten zu können? Abgesehen davon: Du hattest die Konsole zum Zeitpunkt des Angriffs bereits offen und anschließend die Meldungen gespeichert? Oder was möchtest du jetzt vier Wochen später noch aus der Konsole herauslesen?

Bezogen auf die Angriffssituation selber ist sicherlich klar, dass man da jetzt nichts mehr aus dem Log herauslesen kann. Das abzuspeichern hatte ich nicht unmittelbar auf dem Schirm, wenn ich auch ein paar Tage später noch den kpl. Cache gesichert habe und die betr. Seiten darin auch noch enthalten waren bzw. sind. Die könnte man sich ja bestimmt nochmal genauer ansehen.

Was ich mir bzgl Konsole aber sehr wohl denke ist, wohlgemerkt unterstellt da könnte auch was rootkit-mäßiges auf der Kiste gelandet sein - dass man den Meldungen schon etwas müsste entnehmen können, wenn es als ggw. Wirken auf Grundlage evtl. payloads bspw. verdeckte, meinetwegen auf Cross-Site-Basis oder was immer sonst beruhende Fremd-Server-Kontakte etc., ge- oder mißglückte heimliche Skriptausführungen usw. usf. gäbe.

Aber - & damit bin ich am Ende, auch, was die Anfrage im ersten Post angeht - das Problem ist eben, dass es nirgends weitergehende Informationen zum Thema Konsole etc. gibt bzw. zu geben scheint. Das mit dem von Dir benannten »Hineininterpretieren« in die Konsolenmeldungen mag aktuell wohl stimmen (vgl. mein direktes Unrat-Wittern angesichts der benannten, im Konsolen-Log aufgetauchten Versuche irgendwelcher ominöser »Remote-Settings«). Trifft aber andersrum nur solange zu, wie man keinerlei Einblick in die Systematik/en etc. des Ganzen hat. Und bezogen darauf fällt mir das alte Bild von früher wieder ein, zwar »alles gezeigt, aber nichts verraten« zu bekommen...

Zitat von Sören Hentzschel

Zitat von Jogi32

Ganz einfach, hätte ich fast gesagt - nämlich einmal über die Eingabe von:

Okay, also tatsächlich so kompliziert, wie ich es mir über die Konsole vorgestellt hatte. Der „normale” Weg, solche Optionen zu verändern, wäre about:config. Dort kann einfach per Doppelklick auf die entsprechende Zeile zwischen aktiviert und deaktiviert gewechselt werden.

About:config kenne ich natürlich, ist mir aber zu umständlich & zu hampelig.

Zitat von Sören Hentzschel

Zitat von Jogi32

undefined ist zwar etwas seltsam

Die Konsole gibt immer den Rückgabewert aus. Die „Rückgabe” wird auch durch das Pfeil-Symbol nach links symbolisiert. Und die Funktion setBoolPref() hat keinen Rückgabewert. Demnach ist undefined das erwartete Ergebnis.

Das ist absolut nachvollziehbar.

Zitat von Sören Hentzschel

Zitat von Jogi32

Was den besagten Bedarf angeht, pflege ich Javascript - eigentlich - immer nur bei Vorliegen zweier Voraussetzungen einzuschalten

Ich vermute mal, dass das auf der völlig veralteten Denkweise beruht, dass JavaScript etwas Schlechtes sei. In den Anfangszeiten des Internets war das eine verbreitete Sichtweise. Heute ist das freundlich ausgedrückt ein Mythos. JavaScript ist ein wesentlicher Bestandteil der Webplattform, der auf einer Stufe mit CSS und Bildern steht.

Es sei Dir natürlich unbenommen, dass Du die Denkweise als völlig veraltet ansiehst. Aber es genügt mir zu wissen, dass ich damit offensichtlich nicht völlig alleine zu stehen scheine, sonst gäbe es ja kein NoScript-AddOn.

Zitat von Sören Hentzschel

Zitat von Jogi32

Wie richtig das tatsächlich ist, musste ich Anfang Januar erkennen

Deine Schlussfolgerung ist falsch. Ja, über JavaScript können Sicherheits-Thematiken entstehen. Es gab aber auch schon Sicherheitslücken in CSS und in den Bild-Dekodern. Und ich vermute mal stark, CSS und Bilder schaltest du auch nicht nur bei Bedarf ein. Wie kommst du also zur Annahme, dass JavaScript Schuld an deinem Befall war? Folgendes kann es jedenfalls nicht sein:

...

Weiterleitungen können auch via HTML oder sogar serverseitig erfolgen. Weiterleitungen sind nicht zwingend auf JavaScript zurückzuführen.

Natürlich hast Du mit der letztgenannten Feststellung recht, und auch - um vorgreifend auf Dein weiterhin Gesagtes Bezug zu nehmen - kann zusätzlich zu HTML sicherlich auch auf Grundlage von CSS jede Menge Schindluder getrieben werden. Deine überaus positive Haltung zu Javascript war mir schon früher aufgefallen, & die sei Dir auch völlig unbenommen. Vllt. verdienst Du ja auch in einem weiteren Rahmen im Zusammenhang mit dem WWW Deinen Lebensunterhalt. Da kann ich mir dann schon vorstellen, dass die gewerbliche Wirtschaft größtes Interesse an den durch Javascript eröffneten Möglichkeiten für Werbung etc. im WWW hat. Und wenn mein Pastor die Kirche voll haben will, ist es bestimmt auch besser, nicht zuviel Kritisches zum christlichen Glauben oder über die Amtskirche zu sagen

Aber zum Kern des Th. zurückkommend, sei nun noch zweierlei gesagt, nämlich dass man vernünftigerweise

a) sich natürlich erstmal *alle* in Betracht kommenden mgl. Vektoren / Hilfsmittel vor sein geistiges Auge holen wird. Und zu denen dürfte ja - ungeachtet Deiner diesbzgl. überaus positiven Grundhaltung - ohne jeden Zweifel eben auch Javascript gehören (die zahlreichen, aufgrund des eingebauten JIT-Compilers für Javascript zusätzlichen Einfallstore für MW lasse ich mal beiseite, und auch einen ganz wesentlichen weiteren Beweggrund, Javascript abzuschalten, nämlich (s. o.) dadurch von einem Großteil der Werbung verschont zu bleiben... )

b) im übrigen ist es dann wohl einfach so, dass wir eben andere Haltungen & Herangehensweisen an das Thema Vorsorge bzw. »Sicherheit« haben... Natürlich kann man so an das Leben herangehen, dass man - um nicht die Litanei der it-technischen Möglichkeiten wieder aufzuwärmen & stv. für vieles andere - sich einfach sagt: Die Gefahren, denen ich ausgesetzt bin sind so zahlreich & vielfältig - wozu bitte soll ich denn i. S. Ernährung auf meinen Cholesterin-, Blutzucker-, Alkohol- oder was auch immer sonst für einen -Spiegel achten? Wenn ich morgen von einem Auto überfahren oder einem Meteoriten getroffen werde, habe ich da doch gar nichts von. Also lasse ich das alles bleiben. Kann man sicher so machen...

Zitat von Sören Hentzschel

Zitat von Jogi32

immer nur bei Vorliegen zweier Voraussetzungen einzuschalten, nämlich dass: […] 2. Ich der jeweiligen Seite über den Weg traue

In der Theorie gut gedacht. In der Praxis werden es Angreifer aber auch auf die vermeintlich vertrauenswürdigen Websites absehen, um diese zu kompromittieren. Das siehst du als Nutzer nicht. Dadurch kann die Gefahr dort sogar größer sein, weil du der Seite ja vertraust und deswegen mit ihr interagierst, während du eine offensichtlich uneriöse Website vermutlich sofort schließst. Insofern würde ich die eigene Beurteilung der Website als Beurteilungskriterium nicht zu hoch bewerten.

Ack. Aber was soll man sonst machen? Ignorieren?

Zitat von Sören Hentzschel

Zitat von Jogi32

Bezogen auf die Angriffssituation selber ist sicherlich klar, dass man da jetzt nichts mehr aus dem Log herauslesen kann. Das abzuspeichern hatte ich nicht unmittelbar auf dem Schirm

Selbst, wenn du auf dem Schirm gehabt hättest: Wenn die Konsole zum betroffenen Zeitpunkt nicht bereits geöffnet war, hätte es dir nichts gebracht. Du erhältst in der Konsole keine Meldungen rückwirkend. Und auch dann wäre es immer noch höchst zweifelhaft, dass in der Konsole irgendetwas gestanden hätte, was für dein Anliegen relevant ist.

Zitat von Jogi32

...

Zunächst einmal würde die Konsole nur Meldungen der Website ausgeben, nicht von irgendwelchen Rootkits auf deinem System. Als nächstes wäre festzuhalten, dass die Browser-Konsole keine „Fremd-Server-Kontakte” loggt, dafür gibt es andere Werkzeuge. Gleiches gilt für sogenannte Payloads von Anfragen. Und „mißglückte heimliche Skriptausführungen” (sic!) sind für dein Problem nicht entscheidend. Wenn überhaupt, wären es die geglückten. Und die geben in der Browser-Konsole nichts aus.

Tja - und da bin ich - schwupps - wieder bei meinem dem AP zugrundeliegenden Wunsch, dass ich gerne in weitaus größerem Umfang in der Lage wäre, die Konsolenmeldungen auszuwerten, als ich ggw. bin

- wobei ich jetzt doch noch einen kleinen Punkt hätte, der mir soeben über den Weg gelaufen ist.

a) Vllt. ist es natürlich so, dass Deine obigen Aussagen - zusammengefasst etwa: Die Konsole zeigt keinerlei sicherheitsrelevante Informationen an - sich *ausschließlich* auf Firefox beziehen; dann würde ich mir den flgd. Punkt b) natürlich sparen.

Falls aber nicht - & auch wenn ich kein Chrome benutze - sei gesagt

b) Lt. Reddit wirft die Chrome-Konsole sehr wohl Warnmeldungen aus etwa in dem Fall, dass ausgehend von einer Website XSS-Versuche in Richtung des aktuellen Browserbenutzers erfolgen bzw. erfolgt sind. Genau solche Sachen interessieren mich aber, & woher weiß ich nun, dass vllt. Firefox im Ggs. zum m. W. auf derselben Basis fußenden Chrome nicht nur keine XSS-Warnungen, sondern *grundsätzlich keinerlei* Fragwürdigkeiten auf Webseiten zu protokollieren pflegt?