Nun auch deutsche Seiten von SQL-Massenhacks betroffen

Den zuletzt gemeldeten Massenhacks von Webseiten in China sind nun auch die ersten deutsche Auftritte zum Opfer gefallen. Dabei nutzen die Angreifer diverse Möglichkeiten aus, um Links auf bösartiges JavaScript mittels SQL-Injection in Webauftritte einzuschleusen. Die Skripte öffnen versteckte iFrames mit Exploits, um die PCs von Besuchern durch Lücken im Webbrowser mit Schädlingen zu infizieren. Zur Manipulation der Seiten kommen automatische Werkzeuge zum Einsatz, die alle Varianten von SQL-Injection-Angriffen per Brute Force durchtesten sollen – unter Umständen zerstören die Werkzeuge sogar einige Webseiten, ohne erfolgreich die schädlichen Links in die Seite integriert zu haben.

Nach Informationen von heise Security betrifft das Problem neben vielen kommerziellen Seiten auch die Auftritte von Städten, Gemeinden und Landkreisen, insbesondere wenn diese einen Internet Information Server (IIS) von Microsoft mit ASP zusammen mit dem Content-Management-System des Herstellers Interlogics betreiben. Ob es sich um eine konkrete Lücke im CMS oder um schlecht konfigurierte IIS/ASP-Systeme handelt, ist bislang nicht eindeutig geklärt. Allerdings soll eine Gemeinde bereits vor zwei Wochen und eine weitere vor einer Woche von Interlogics informiert worden sein, dass derartige Angriffe laufen. Es wurden aber keine konkreten Maßnahmen vorgeschlagen. Offenbar hat die Firma das Problem selbst nicht im Griff; zumindest sind auch die Seiten von InterLogics eGovernment mit den verdächtigen IFrames infiziert. Interlogics selbst hat sich zu dem Problem bislang nicht geäußert.

Kompromittierte Webseiten fallen durch Zeilen wie <script src=http://www.banner82.com/b.js> im HTML-Quellcode auf. Alternativ kann die Domain auch www.adw95.com oder anders lauten. Betreuer von Webseiten sollten ihren Auftritt auf solchen zusätzlichen Code hin untersuchen. Wo man suchen muss, hängt allerdings vom jeweiligen Auftritt ab. Sinnvoller kann es sein, die SQL-Datenbank nach den aufgeführten Zeichenketten oder Anweisungen zum Nachladen von externen JavaScripten zu durchsuchen. Betroffene Seiten sollten umgehend repariert oder ganz vom Netz genommen werden.