magnify
Home Themen Webmaster Hackerangriff über den AdServer am 15.09.11 – Problem gelöst
formats

Hackerangriff über den AdServer am 15.09.11 – Problem gelöst

Vorab – das Problem ist inzwischen behoben. Aber dennoch ist die Geschichte dahinter eventuell interessant, um andere vor Schaden zu schützen. Man muss ja nicht unbedingt alle Erfahrungen selbst machen…

Viruswarnung

Heute Vormittag bekam ich eine äußerst unangenehme Mail von einer Mitarbeiterin eines Affiliate-Netzwerks. Kollegen hatten sich einen Virus eingefangen, nachdem sie auf unserer Website waren:

„Eine Info kam gerade von unserer IT-Abteilung: Offensichtlich handelt es sich um sogenannte Scareware, d.h. die Besucher der Website bekommen einen gefakten Warnhinweis dass ihr Rechner angeblich infiziert sei, und es gibt dazu einen Button „Problem beheben“. Wenn man darauf klickt, beginnt erst die eigentliche Infektion mit dem Virus.“

Daraufhin schickte ich einige Virenscanner über unsere Website – bekam allerdings keinen Hinweis auf einen Virenbefall. Dann bat ich über Twitter und Google+ um Unterstützung und die Meldung von Beobachtungen.

Ein wichtiger Hinweis kam dann von Adam, seine Virensoftware schlug Alarm:

„avast! Script-Schutz hat folgende Bedrohung geblockt: Infect: HTML:iframe-inf“ und „Kaspersky Internet Security 2011 auf dem PC meldet einen schädlichen Link , und zwar diesen: http://———-.cx.cc/…“.

AdServer OpenX gehackt

Mein tüchtiger Servermensch Frank vermutete einen Angriff über javascript und fand dann auch sehr schnell eine Merkwürdigkeit im Benutzerprotokoll des OpenX-AdServers:

Gestern Abend gab es innerhalb einer knappen Stunde Aktivitäten eines unbekannten Nutzers. Dieser änderte die Sprache mehrfach auf dänisch bzw. russisch, legte Banner an (siehe Abbildung – die Übersetzung der russischen Schriftzeichen ergibt übrigens „untitled“ ;-) und löschte diese wieder.

Das übelste war allerdings, dass der fiese Eindringling alle vorhandenen Banner modifizierte, indem er ihnen ein HTML-Template verpasste, welches ein 1×1-Pixel-iFrame öffnete und irgendeinen Müll auf einer .cc Domain aufrief.

Also – versteckter Code aus Cocos Islands („.cc“) von einem Hacker, der nicht genau weiß, ob er dänisch oder russisch spricht. Toll!

Lösung

Wir haben daraufhin die Datenbank des AdServers mittels einer Datensicherung von vorgestern auf einen sauberen Stand gebracht und das ganze mittels Verzeichnisschutz doppelt abgesichert.

Für die entstandenen Unannehmlichkeiten bei den Besuchern möchte ich mich hiermit entschuldigen. Danke an alle, die mich heute mit Hinweisen unterstützt haben.

VN:F [1.9.22_1171]
Wie hat dir dieser Beitrag gefallen?
Wertung: 0.0/5 (0 Bewertungen)
Danke für´s Teilen :-)Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn
 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
1 Comment  comments 

Ein Antwort

  1. Gut dass Ihr das Problem in den Griff bekommen habt. Danke für die Erwähnung. Freut mich, dass ich helfen konnte,

    Gruß,

    Adam

    VA:F [1.9.22_1171]
    Wertung: 0 (von 0 Bewertungen)