BSI warnt vor erneuten Angriffen über Anzeigen
In den letzten Tagen wurden vermehrt OpenX-Anzeigen-Server mit Schadcode präpariert. Mittlerweile geraten über Anzeigennetze auch große Sites ins Visier und attackieren dann innerhalb kurzer Zeit tausende Besucher.
In den letzten Tagen wurde erneut eine große Zahl von Anzeigen-Servern mit Schadcode infiziert. Damit blenden dann Web-Seiten Anzeigen ein, die den Besuchern Schadcode unterschieben. Allein in den letzten Tagen identifizierten und benachrichtigten die Spezialisten des Bundesamts für Sicherheit in der Informationstechnik mehrere Dutzend betroffene Server in Deutschland; die Dunkelziffer dürfte um ein Vielfaches höher liegen.
Mit besonderer Besorgnis beobachten die Sicherheitsexperten des BSI neuere Fälle, in denen die kompromittierten Anzeigen-Server kleinerer Agenturen ihre infektiösen Anzeigen in große Werbe-Netzwerke einschleusten und damit dann auch sehr große Web-Sites erreichten. Die Anzeigen enthalten JavaScriptCode, der über ein unsichtbares IFrame ein so genanntes Exploit-Pack zur Ausführung bringt, das systematisch Sicherheitslücken in Java, Flash und anderen Programmen ausnutzt. Bei den offenbar systematisch durchgeführten Einbrüchen der letzten Tage kommt dabei meist das G01pack zum Einsatz, das sich durch den Missbrauch dynamischer DNS-Dienste für seine Malware-URLs auszeichnet.
Auf der Server-Seite ist meist die Adserver-Software OpenX betroffen – häufig wegen veralteter Versionsstände mit bekannten Sicherheitslücken. Neben dem Update auf die aktuelle Version ist auf jeden Fall zu empfehlen, den Zugriff auf das Admin-Interface eines solchen Servers zusätzlich abzusichern; etwa indem man diesen mit .htaccess und dem Apache-Modul mod_authz_host auf bestimmte, vertrauenswürdige IP-Adressen beschränkt. Wenn das nicht möglich ist, kann man via .htaccess für diesen Serverbereich zumindest ein zusätzliches Passwort setzen.
In den konkreten Fällen fand sich der eingeschleuste Code immer in den append- beziehungsweise prepend-Feldern der OpenX-Tabellen. Die kann man mit SQL-Befehlen wie
SELECT bannerid, append, prepend FROM banners
WHERE append != '' OR prepend != '';
überprüfen (und analog für zoneid und zones). Wer einen befallenen Server reinigen muss, sollte auf jeden Fall auch Ausschau nach verdächtigen PHP-Dateien halten; häufig hinterlegen die Angreifer eine Hintertür, über die sie zu einem späteren Zeitpunkt erneut einsteigen. Das BSI beobachtete bereits mehrere Fälle von solchen Mehrfachinfektionen.
(ju)
