Hacker hacken Hacking-Tool-Seite
Einem ARP-Poisoning bei einem Webhoster ist nun eine prominente Webseite zum Opfer gefallen: Das Exploit-Framework Metasploit von H.D. Moore.
- Daniel Bachfeld
Einem ARP-Poisoning bei einem Webhoster ist nun eine prominente Webseite zum Opfer gefallen: Das Exploit-Framework Metasploit von H.D. Moore. Chinesische Hacker manipulierten mit gefälschten ARP-Paketen den ARP-Cache des Servers von H. D. Moore. In der Folge schickte der Server seine Pakete nicht mehr direkt zum Router, sondern an einen beim Webhoster gehackten Server im gleichen Netz, der unter der Kontrolle der Angreifer stand. Diese bauten wahrscheinlich mit einem speziellen Tool eigene Inhalte quasi on-the-fly in den umgeleiteten HTTP-Verkehr: "hacked by sunwear! just for fun". Moores Server wurde aber wahrscheinlich nicht gezielt angegriffen. Vielmehr manipulierten die Hacker die ARP-Caches aller Server im betroffenen Netz.
Nachdem das Problem auffiel, löste es Moore mit einem statischen Eintrag im ARP-Cache seines Servers für den Router seines Providers. Ob dieser nun künftig eigene Maßnahmen zum Schutz vor solchen Angriffen ergreifen will, ist unbekannt. Angriffe per ARP-Spoofing bei Webhostern zum Ausspionieren von Datenverkehr sind zwar seit Längerem bekannt. Erste Berichte über auf diese Weise eingeschleuste iFrames und andere Inhalte in HTML-Seiten sind aber erst seit Ende des vergangenen Jahres aufgetaucht. Damals wurde das Chinese Internet Security Response Team (CISRT) Opfer solch eines Angriffs. Das von einigen Cyber-Kriminellen benutzte Web-Attack-Toolkit MPack soll in einigen Versionen ARP-Spoofing unterstützen.
Siehe dazu auch:
- Metasploit - Hack?, Thread auf Full Disclosure
- Angriff von innen - Technik und Abwehr von ARP-Spoofing-Angriffen, Hintergrundartikel auf heise Security
- Exploits für alle - Einstieg in Metasploit, Hintergrundartikel auf heise Security
(dab)
