Sicherheitslücke zum Traffic-Klau genutzt

Wer die letzten Tage bei Google, Bing oder Yahoo nach Grundig-Produkten suchte, landete ziemlich sicher auf einer dubiosen Web-Seite. Rief man die Grundig-Seiten direkt auf, etwa indem man die URL in der Adressleiste eintippte, erschien alles normal.

Genauere Analysen zeigen, dass der Grundig-Server alle Besucher, die von einer der Suchmaschinen kommen, über eine spezielle HTTP-Antwort weiter schickt. Blogger haben bereits im Januar einen ähnlichen Sachverhalt auf einem anderen Server analysiert . Damals wurde über eine Sicherheitslücke in einer alten PHP-Version zusätzlicher Code in die Web-Seiten eingebaut:

eval(base64_decode("ZXJyb3Jfc...

Wenn man diesen dekodiert, erhält man eine Abfrage des Referers auf "yahoo", "google" oder "bing" und bei einem Treffer den Umleitungsbefehl. Was die Angreifer konkret mit diesem Einbruch bezweckten, ist nicht ganz klar. Vermutlich geht es darum, ein Affiliate-Geschäft aufzubauen. Diese Art, einen Server zu kompromittieren, ist besonderes heimtückisch, weil er bei einem direkten Aufruf der Seiten nicht sichtbar ist und somit dem Betreiber durchaus längere Zeit entgehen kann. Nachdem ein heise-Leser Grundig am Wochenende über das Problem informiert hatte, wurde die Umleitung offenbar heute morgen entfernt. Da die Angreifer jedoch eigenen PHP-Code auf dem Server ausführen konnten, ist nicht auszuschließen, dass sie sich dabei nicht auf diese simple Umleitung beschränkt haben. (ju)