Hunderttausende gehackter Webseiten sollten Scareware verbreiten

Durch eine großangelegte SQL-Injection-Attacke haben Kriminelle vermutlich bis zu 400.000 Webseiten mit Links zu Scareware infiziert.

In Pocket speichern vorlesen Druckansicht 61 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Kriminelle haben über eine automatisierte SQL-Injection-Attacke hunderttausende von Webseiten manipuliert und dabei Links zu Domains mit Scareware eingebettet. Besucher einer infizierten Webseiten bekamen dann unter Umständen eine weitere Seite zu Gesicht, in der ein vorgeblicher Viren-Scanner eine Infektion des Systems vorgaukelte.

Unklar ist allerdings, in wievielen Fällen es den Kriminellen gelang, die Links so einzubauen, dass sie auch wirklich funktionierten. Durch die relativ ungezielte SQL-Injection-Attacke auf Inhaltsdatenbanken von Content-Management-Systemen gelangten die Links in vielen Fällen in Felder, in denen sie bei der Darstellung überhaupt nicht interpretiert und damit auch nicht abgerufen werden – beispielsweise im Titel einer Seite. Die URLs fanden sich nach Angaben von Websense auch in einige URLs zu itunes-Podcasts, die ihren Weg dorthin eventuell über manipulierte RSS-Feeds des jeweiligen Anbieters fanden. Auch dort lief der Angriff offenbar jedoch ins Leere, weil der Browser die injizierten Links nicht interpretierte.

Zu den URLs gehörte unter anderem eine Adresse in der Domain lizamoon.com, weshalb der Vorfall von vielen Sicherheitsexperten als lizamoon-Attacke bezeichnet wird. Die Domains sind mittlerweile nicht mehr erreichbar. Der Sicherheitsspezialist Dancho Danchev hat eine nähere Analyse aller bei der Scareware-Kampagne benutzten Domains veröffentlicht. Sie führten nach seinen Angaben letztlich alle auf eine einzige IP-Adresse. Die Domains wurden erst vor wenigen Tagen über automatisch registrierte Google-Mail-Konten beantragt.

Betreiber von Webservern sollten ihre Webseiten auf injizierte JavaScript-Tags mit Links wie <script src=http://lizamoon.com/ur.php></script> hin untersuchen und diese entfernen. Zusätzlich gilt es, die SQL-Injection-Lücke zu finden, durch die sich die Inhalte einschmuggeln ließen. Unter Umständen kann es genügen, eine aktuelle Version der benutzten Webanwendung zu installieren, möglicherweise muss man sich auch professionelle Hilfe holen und die Anwendung von einem Code-Auditor oder Penetration-Tester untersuchen lassen.
(dab)