Don't get hacked or die trying

Wer eine Seite in dieses Netz stellen möchte, dem sollte klar sein, dass er – sobald er die Seite live stellt – unter Feuer steht. Im besten Fall rennen einem Besucher die Tür ein. Im schlechtesten Fall kommen lediglich Bots vorbei, die die Seite auf Sicherheitslücken untersuchen und ein nicht ausreichend gewartetes Stück Software für Ihre Zwecke ausnutzen.

Ein solcher Fall ist uns in den letzten Wochen mehrfach untergekommen und den wollen wir hier einmal vorstellen.

Viagra aus dem Krankenhaus

Googlet man nach Marienkrankenhaus so fällt einem im ersten Moment wahrscheinlich das manipulierte Snippet nicht auf:

Das Google-Snippet der gehackten Website des Marienhospitals Hamburg

Bis auf hässliche Sitelinks also nichts los? Mitnichten. Besucher mit Referer Google und ohne Cookie werden weitergeleitet auf eine Viagra–Seite:

 

 

Spam im Stealth-Modus

Normalerweise wäre der Hack wahrscheinlich sehr schnell bemerkt und beseitigt, doch die Entwickler haben sich Mühe gegeben: Klickt man auf das Ergebnis, so wird die Mehrzahl der Besucher und zwar insbesondere jene, welche die Seite öfter besuchen, keine Probleme feststellen. Wer beim Aufruf der Seite ein Cookie mitbringt, findet die nämlich übliche Nutzererfahrung vor:

 

Mit Cookie wird dem User die reguläre Website angezeigt

Für noch effektivere Tarnung werden ausschließlich Benutzer weitergeleitet, die über Google auf die Website gelangen und den entsprechenden Referrer mitbringen. Das lässt sich mit dem Kommandozeilenprogramm curl leicht reproduzieren:

Der einfache Konsolenaufruf mittels

curl -I http://www.marienkrankenhaus.org

gibt erfolgreich die reguläre Website zurück, wohingegen man beim Aufruf mit Google-Referrer

curl -e "https://www.google.de/" -I http://www.marienkrankenhaus.org

am Ende einer Redirect-Kette auf der Spamseite landet.

Dass Mitarbeiter und andere, die über Bookmarks auf die Seite gelangen oder die URL direkt eingeben überhaupt etwas von der Manipulation mitbekommen, ist dadurch sehr unwahrscheinlich und verringert für die Hacker das Risiko entdeckt zu werden.

Ich sehe was, was du nicht siehst

Damit Google die Website für Viagra-bezogene Suchanfragen in den Suchergebnissen ausliefert, werden (nur) dem Google-Bot Inhalte angezeigt.

Das geschieht mit billigstem Cloaking auf Basis des User–Agents. Mit einem der zahlreichen Plugins zur Veränderung des User-Agents kann man dasselbe Ergebnis auch im eigenen Browser provozieren.
Die Auswirkung lassen sich gut bei einer Abfrage aus dem Google Cache beobachten – oben Spam, unten alter Content:

Das gehackte Marienhospital.org im Google-Cache

Welche Seite man für die Cache–Abfrage verwendet ist fast egal. Die einzige nicht verseuchte URL ist die Startseite:

Eine Site-Abfrage für marienhospital.org offenbart die gehackten Unterseiten

So wird vermieden, dass sich das Snippet für die Startseite verändert, vermutlich weil es zu viel Aufmerksamkeit erregen würde.

Be alert!

Prävention

Vorsorge ist bekanntlich besser als Heilen, deswegen gilt es, den Hackern keine Gelegenheit zu geben, das eigene System zu kompromittieren.

Dabei gilt natürlich die klassische Risikoformel:
Risiko ist die Wahrscheinlichkeit eines Angriffs mal Schadenshöhe. Die Wahrscheinlichkeit steigt dabei mit dem Interesse des Angriffs, beziehungsweise mit der Verringerung des Aufwands. Das bedeutet konkret: Wenn bei mir nicht viel zu holen ist, dann bin ich als Ziel nur interessant, wenn es Jemand auf mich abgesehen hat, oder ich es dem Angreifer besonders einfach mache, sodass er quasi im Vorbeigehen mein System einstecken kann.
Sich abzusichern ist daher einfacher gesagt als getan, aber mit dem Befolgen einfacher Prinzipien kann viel erreicht werden, um zumindest das Hackrisiko durch Angriffe im Vorbeigehen zu reduzieren:

  • Software immer auf dem aktuellsten Stand halten
    Regelmäßige Updates schließen Sicherheitslücken, die zum Einbruch auf Server genutzt werden können
  • Verbreitete und quelloffene Software einsetzen
    Vertrauen ist gut, Kontrolle ist besser. Open Source Projekte wie z.B. WordPress haben häufig große Communities mit erfahrenen Mitgliedern, die sich darum kümmern, dass Exploits schnell gefunden werden oder gar nicht erst entstehen.
  • Sparsam mit Plugins / Extensions / Add-Ons umgehen
    Auch die beste Software ist nur so stark wie ihre schwächste Stelle. Erweiterungen von dritten Entwicklern sind in aller Regel nicht so gründlich durchgecheckt wie wünschenswert wäre und erhöhen das Risiko für verwundbare Angriffspunkte. Das gleiche gilt für eigene Anpassungen.

Damit interessierte Leser nicht überrascht werden, haben wir ein kleines Google Doc gebaut, dass ihr kopieren könnt. Das Doc benachrichtigt Euch, sobald die Anzahl der Ergebnisse mit Spam–Begriffen bei Google deutlich ansteigt. Kopier es in Deinen Google Drive-Account und trage die Domains ein, die überprüft werden sollen: Wingmen Viagra-Hack-Checksheet

Natürlich hoffen wir, dass Ihr von diesem Tool nie eine Nachricht bekommt.


Verlinkt von

Website Viagra Hack - Affiliate auf Party-Tour am 23. November 2014 um 08:27:24

[…] Wingmen haben diese Manipulation aufgedeckt und stellen dazu nun ein einfach zu bedienendes Werkzeug zum Aufspüren dieses Website-Hacks […]

Kommentare

Markus K. am 23. Oktober 2013 um 08:45:49

Guter Artikel aus einer Themenecke, die zu selten von Agenturen beachtet wird!
Die Seiten, die in das Google-Doc eingetragen werden, prüft ihr die manuell? Oder holt sich ein Prüfbot von euch die selbst?

Gruß Markus

    Justus Blümer am 23. Oktober 2013 um 09:36:00

    Hi Markus,
    nein, je nachdem wie viele Nutzer das kleine Spreadsheet irgendwann mal benutzen wäre eine manuelle Prüfung nicht mehr möglich, ist aber dank Google Apps Script aber auch nicht nötig.
    Wenn du das Spreadsheet in deinen Account kopierst und in den Freigabeeinstellungen (oben rechts unter „Freigabe“) nichts anderes eingestellt hast, hast nur du Zugriff auf die eingetragenen URLs. Die Überprüfung übernimmt das Skript, das du unter Tools > Skripteditor findest, zeitgesteuert aufgerufen mit den Triggern unter Ressourcen > Trigger.
    Gruß
    Justus

Ralph von der Heyden am 23. Oktober 2013 um 09:40:30

Danke für den Artikel! Der Fall ist mir auch letztens untergekommen (Gott sei Dank nicht bei einer eigenen Seite), und ich konnte nicht herausfinden, was da los war. Darauf, dass die Exploits sich tarnen, muss man erst mal kommen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.