Kompromittierte Web-Server verbreiten Malware
Eine große Zahl von legitimen Web-Servern sind mit einem Script verseucht, das Besuchern der Website Malware unterschieben soll. Wie konnte es dazu kommen?
Wenn ein ganz normaler und bislang an sich unverdächtiger Web-Server plötzlich die Rechner von Besuchern der Website mit Trojanischen Pferden verseucht, ist das merkwürdig. Trifft diese Beobachtung auf eine Vielzahl von Web-Servern zu, ist das sehr bedenklich und wirft die Frage nach den Ursachen auf.
Alisa Shevchenko beschreibt im Blog der Virenforscher von Kaspersky Labs, was da passiert ist und wie es dazu kommen konnte. Zunächst fällt auf, dass eine größere Zahl von Web-Servern kompromittiert ist, die scheinbar nichts miteinander zu tun haben. Die Startseite ist durch ein Script ersetzt worden - meist eine Variante des altbekannten "Trojan-Downloader.JS.Psyme" (auch als "VBS/Psyme" bekannt).
Diese Scripte, in Javascript oder Visual Basic Script geschrieben, nutzen eine bekannte Sicherheitslücke im Internet Explorer (IE) aus, um ein Trojanisches Pferd auf den Rechnern von Besuchern zu installieren, die mit einer anfälligen Version des IE unterwegs sind. Dabei können ganz unterschiedliche Schädlinge auf dem PC landen, meist solche, die weitere Malware nachladen.
Unter den kompromittierten Servern sind sowohl Websites von Unternehmen wie auch von Privatpersonen. Die Untersuchung der internen Zugriffsprotokolle einiger Web-Server zeigt, dass keinerlei Einbruch oder Hacker-Angriff stattgefunden hat - lediglich ein normaler FTP-Upload mit gültigem Benutzernamen und Passwort.
Offenkundig müssen die FTP-Zugangsdaten zu den Web-Servern von den PCs von Personen gestohlen worden sein, die einen legitmen Zugang zu jeweils einem oder mehreren dieser Server haben. Alisa Shevchenko geht nach Auschluss anderer denkbarer Erklärungen davon aus, dass die Zugangsdaten in FTP-Programmen auf diesen PCs gespeichert und von einem Trojanischen Pferd ausspioniert worden sind.
Um die Web-Server zu kompromittieren, müssen die Zugangsdaten nicht einmal über das Internet an einen Angreifer übermittelt werden. Das Trojanische Pferd auf dem PC des Webmasters benutzt die Daten direkt von diesem PC aus zum Upload des virulenten Scripts. So erfolgt der Zugriff auch nicht von irgendwo her, sondern von dem Rechner des Webmasters, der auch sonst die Inhalte der Website pflegt - und ist somit völlig unverdächtig.
Die Moral von der Geschicht' ist geradezu langweilig, weil man sie im Grunde schon so oft gehört hat: Speichern Sie Passwörter nicht in den Programmen, die sie nutzen (hier: FTP-Programme). Installieren Sie regelmäßig die neuesten Sicherheits-Updates für Windows und aktualisieren Sie Ihren Virenscanner (den Sie hoffentlich haben).
