Trojaner übers Web
Die Web-Site des Open-Source-Projekts Rekall war gehackt und versuchte, Besuchern über den mhtml-Bug des Internet Explorer einen Trojaner unterzuschieben.
Die Web-Site "Rekall Revealed" versuchte, Besuchern über den mhtml-Bug des Internet Explorer einen Trojaner unterzuschieben. Mittlerweile hat der Webmaster auf einer Mailing-Liste eingestanden, dass seine Seite gehackt wurde und die Code-Zeilen entfernt, die den Trojaner installieren. Er hielt es bisher allerdings nicht für nötig, seine Besucher zu informieren oder seine Web-Seite für eine detaillierte Analyse des Vorgangs und seiner Folgen offline zu nehmen.
Solche Schludrigkeit ist quasi eine Einladung, den Server wieder zu hacken -- und die wurde auch schon angenommen: Auf derselben Mailingliste ist nachzulesen, dass der Server bereits letzte Woche gehackt und wieder notdürftig geflickt wurde. Auf die Anfrage von heise Security, ob der Webmaster denn alle Dateien -- einschließlich der zum Download angebotenen Rekall-Sourcen -- auf mögliche Veränderungen geprüft habe, gab es bisher keine Antwort. Angesichts solcher Fahrlässigkeit können wir nur davon abraten, diese Site zu besuchen.
Dieser Vorfall zeigt aber auch, dass es nicht genügt, "beim Surfen vorsichtig zu sein". Die Access-ähnliche Software Rekall wird in dem iX-Artikel Assistenten allerorten vorgestellt. Dort fand sich auch kurzzeitig ein Link auf die scheinbar harmlose Seite mit Infos rund um Rekall. IE-Benutzer, die den Outlook-Express-Patch von letzter Woche (noch) nicht installiert und in dem iX-Artikel den Link zur Rekall-Revealed-Site angeklickt haben, müssen davon ausgehen, dass sie einen Trojaner auf dem System haben. Sie sollten ihr System mit einem aktuellen Virenscanner untersuchen. Kaspersky meldet die installierte Datei "exploit.exe" als TrojanDownloader.Win32.Small.f. Sie lädt eine zweite Datei namens "run32dlll.exe" nach, die zumindest F-Prot und Kaspersky bisher nicht als Virus identifizieren. Weitere Hinweise zu Viren und Würmern finden Sie auf den Antiviren-Seiten von heise Security.
Und schließlich wirft dieser Hack auch ein Schlaglicht auf die (Un-)Sicherheit von PHP-Nuke. Das populäre Content Management System wird von vielen Projektseiten wie "Rekall Revealed" eingesetzt, da es einfach aufzusetzen und zu erweitern ist. Auf der anderen Seite fällt es immer wieder durch Sicherheitsprobleme auf, die die gesamte Bandbreite von SQL-Injection bis hin zum Hochladen und Ausführen beliebiger Dateien aufweisen. Des weiteren ist schon die Grundinstallation von PHP-Nuke nicht gerade als sicher zu bezeichnen. Der Webmaster von "Rekall Revealed" sucht jedenfalls jetzt nach einer sichereren Alternative. (ju)
