Massenhack von chinesischen Webseiten

Das serienmäßige Hacken von Webseiten nimmt kein Ende. Nachdem vor Kurzem bereits hunderttausende auf phpBB basierende Webseiten mit Links auf schädliches JavaScript verunstaltet und zuvor ebenso viele Webanwendungen unter Microsofts IIS mit MS-SQL-Datenbank-Backend angegriffen wurden, stehen nun chinesische Webauftritte unter Beschuss. Auch bei der aktuellen Angriffswelle haben die kriminellen Drahtzieher hunderttausende Webseiten manipuliert.

Medienberichten zufolge probierten die Angreifer diverse Möglichkeiten aus, um Links auf bösartiges JavaScript mittels SQL Injection in die Webauftritte einzuschleusen. Dazu kämen automatische Werkzeuge zum Einsatz, die alle Varianten von SQL-Injection-Angriffen per Brute Force durchtesteten. Dabei zerstören die Werkzeuge sogar einige Webseiten, ohne erfolgreich die schädlichen Links in die Seite integriert zu haben.

Das eingeschleuste JavaScript leitet wie schon bei den älteren Angriffswellen Besucher auf präparierte Seiten um, die versuchen, bekannte Schwachstellen in älterer Software zum Einschleusen eines Trojaners zu missbrauchen. Trend Micro zufolge gehören dazu Sicherheitslücken in Microsofts Data Access Components (MDAC), die schon 2006 mit Patches abgedichtet wurden, aber auch Schwachstellen in ActiveX-Modulen des RealPlayer oder in Software, die vorrangig in China, Taiwan oder Singapur eingesetzt wird wie der StormPlayer oder Xunlei Thunder DapPlayer.

Da die Angriffe auf Webserver nicht abreißen, sollten Betreiber von Webservern ihre Internetauftritte auf Schwachstellen überprüfen. Hilfestellung zur Absicherung von Webanwendungen auf Microsofts IIS haben die Redmonder kürzlich zusammengefasst. Hintergrundartikel von heise Security können helfen, Webanwendungen auf PHP-Basis zu schützen und nach potenziellen Lücken darin zu suchen.

Siehe dazu auch:

• Chinese Weekend Compromise, Eintrag in Trend Micros Blog

(dmk)