Heute stelle ich zumindest unter dem von mir unter Kubuntu Linux verwendeten Firefox 3.0.11 fest, dass ich gelegentlich nach der Eingabe und Übermittlung von Formulardaten/Loginfeldern weitergeleitet werde auf neborin.info oder xtraroom.info. Diese Seiten wiederum übermitteln eine Vielzahl von Trojanern und Viren, die eigentlich nur auf Windows-Rechnern zum Problem werden sollten. Zunächst dachte ich, einer unserer Server sei infiziert, da ein Kunde feststellte, dass er ebenfalls bei der Eingabe seiner Daten für den PS-Webhosting Kundenbereich auf o.g. Seite weiter geleitet wurde. Dies kann aber definitiv ausgeschlossen werden.

Google gibt bei der Suche nach neborin.info (noch) nicht sonderlich viel her, lediglich eine Warnung bei Norton Safe Web.

Zur Zeit lasse ich clamav mal über mein System laufen, vielleicht gibt das ja Aufschluss. Hier nochmal die Befehle zur Installation und Ausführung unter Linux (auf der Konsole als root bzw. mit sudo davor ausführen):

apt-get install clamav
clamfresh
clamscan -r /

Sofern es ein brauchbares Ergebnis gibt, stelle ich dies hier ein.

UPDATE:

clamscan hat nichts brauchbares ergeben. In der Zwischenzeit erhielt ich aber von Howie die Mitteilung, dass er heute ebenfalls auf neborin.info umgeleitet wurde. Da es sich vermutlich um eine Sicherheitslücke in Firefox handelt, sei dringend ein Upgrade auf die Version 3.0.12 empfohlen, die seit heute erhältlich ist. Sie behebt einige kritische Lücken, die durchaus in Verbindung mit den o.g. Symptomatiken stehen könnten, siehe Artikel bei heise online. Die 3.0.11 kam mir ohnehin etwas langsam und unperformant vor.
Unter (k)ubuntu Linux sollte also baldmöglichst ein
apt-get update
und anschließend
apt-get upgrade
durchgeführt werden. Selbstverständlich sollten auch alle Windows-Nutzer dieses Update auf Firefox 3.0.12 vornehmen, sofern Sie Version 3.0.11 oder älter verwenden.

Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.0.12) Gecko/2009070811 Ubuntu/9.04 (jaunty) Firefox/3.0.12

UPDATE 2 - 23.07.2009, 13:00 Uhr:

Ein Update auf Firefox 3.0.12 hilft zumindest dann nicht, wenn man sich den Trojaner bereits eingefangen hat.

Mittlerweile hat sich ein anderer Webhoster aus Österreich bei mir gemeldet, der ebenfalls von Kunden Mitteilungen bekommt, dass "Server gehackt seien". Aber das kann wohl, genau wie bei uns (PS-Webhosting), ausgeschlossen werden. Hier sind zudem auch Internet Explorer 8.0.6 Versionen betroffen. Eventuell befindet und verbreitet sich der Schadcode unter anderem über gehackte Foren, so eine Vermutung des Hosters aus Österreich und so in Teilen auch in diesem Forum geäußert. Ein Kunde von uns verwendet OS X auf einem MAC, auch mit Firefox 3.0.11 und berichtet ebenfalls über die Symptomatik.

Die Suchanfragen nach den o.g. URLs häufen sich derzeit recht stark. Ich bin inzwischen jedenfalls erstmal von Kubuntu 9.04 zurückgegangen auf das vorher verwendete 8.04, was sich auf einer anderen Partition befindet. Ganz schön "old-fashioned", dieses KDE 3.5. :-) Und die 300 MB an Updates laufen gerade..