Suchmaschinenvergiftung für Fortgeschrittene

Betrügerische Antivirusprogramme, so genannte Scareware, gehört noch immer zu den am weitesten verbreiteten Malware-Arten. Es fallen tagtäglich viele Internet-Nutzer darauf herein - sonst gäbe es diese auch als "Fake-AV" bezeichneten Programme nicht. Die Täter haben einige ausgefeilte Tricks zur Suchmaschinenoptimierung auf der Pfanne.

Bojan Zdrnja vom ungarischen Sicherheitsunternehmen Infigo beschreibt Beispiele für solche Methoden zur Suchmaschinenvergiftung im Blog des Internet Storm Center (ISC). Der erste Schritt ist leicht zu hackende Web-Server zu finden. Die Täter dringen über Sicherheitslücken in Web-Anwendungen ein oder mit Hilfe von ausgespähten oder leicht zu erratenden Passwörtern. Sie schleusen in dem hier vorgestellten Beispiel nur eine einzige PHP-Seite ein, die den Löwenanteil der Arbeit erledigt.

Dieses PHP-Script fragt beim Steuerungs-Server der Täter an, was es tun soll, sobald ein Besucher auf die Seite kommt. Es lädt von dort ein weiteres PHP-Script nach, das es über eine EVAL-Anweisung ausführt. So bleiben die Täter flexibel und können stets variieren, ohne noch einmal an den gehackten Server zu müssen.

Das Haupt-Script fragt bei einem Seitenaufruf zunächst den Referrer ab, der angibt, von welcher Website der Besucher auf die Seite gelangt ist. Ist der Parameter leer, hat der Besucher die Seite also direkt, ohne Link aufgerufen, zeigt das Script eine 404-Fehlermeldung - Seite nicht gefunden. So schützen sich die Täter vor neugierigen Sicherheitsforschern.