Gehackt? Alle Links mit falscher Domain

Plötzlich sind auf der eigenen Webseite alle Links falsch und Bilder werden nicht angezeigt. Alles verlinkt auf eine andere Domain, die man selbst gar nicht kennt – bspw 24×7-allrequestsallowed.com (so gesehen).

Wurden Sie gehackt? Naja, vielleicht. Zumindest hat jemand versucht, Ihre Webseite zu kompromittieren, und hatte insoweit Erfolg, dass keine Medien geladen werden konnten. Dieser Erfolg kann aber durchaus gefährlich sein. Vermutlich nicht für die Dateien auf dem Server, aber vielleicht für die Besucher Ihrer Webseite.

Was ist passiert?

Programme von Hackern scannen weltweit IP-Adressen, um herauszufinden, welche Webseiten für diese sog. „Remote File Inclusion“ mit Hilfe einer fingierten Domain anfällig sind.

Mit einer fingierten Domain wurde auf die IP Ihrer Webseite gezeigt. Die falsche Domain ist in Ihr Webseiten-Caching (Zwischenspeicherung für mehr Performance) geraten und wurde eine gewisse Zeit in dieser Form an alle Aufrufenden ausgeliefert.

Was kann passieren?

Hatten Sie Glück, wurde nur getestet, ob der Angriff überhaupt möglich ist. Hatten Sie kein Glück, wurden alle Medien bereits auf dem „falschen Server“ gespiegelt und fortan vom „falschen Server“ ausgeliefert. Darunter können u.a. gefälschte JavaScript-Dateien sein, mit denen gefährliche Cross-Site-Scripting-Angriffe möglich werden.

Wie kann man das als Webseiten-Betreiber herausfinden?

  1. Tragen Sie in Ihre hosts Datei
    IP-IHRER-DOMAIN www.eine-existierende-domain.com
    Bspw. 213.198.86.8 www.example.com
    ein (hosts-Datei unter Windows: C:\Windows\System32\drivers\etc\hosts — Sie müssen vmtl Administrator sein, um die Datei zu bearbeiten).
    Löschen Sie Ihren DNS-Cache mit „Ausführen“ -> „cmd“ -> ipconfig /flushdns
    Rufen Sie nun die Webseite www.eine-existierende-domain.com auf.
    Wird Ihre Webseite trotzdem angezeigt? Faktor 1 erfüllt.
  2. Lassen sie sich nun den Quelltext der Seite anzeigen.
    Finden Sie über die Such-Funktion im Quelltext „www.eine-existierende-domain.com“? Faktor 2 erfüllt.
  3. Öffnen Sie nun Ihre tatsächliche Webseite mit einem anderen Browser. Sind die Inhalte nun auch hier falsch? Faktor 3 erfüllt.

Wenn alle 3 Faktoren zutreffen: kontaktieren Sie Ihren Programmierer, sie habe ein Sicherheitsproblem.

Maßnahmen

  • Eine Liste erlaubter Domains führen und nur diese zulassen.
  • Unbekannte Domains auf eine gültige Domain umleiten.
  • Wenn möglich auf eine base-url verzichten.
  • Eine moderne Firewalls nutzen. Diese blockieren solche Angriffe.

Warum machen Hacker sowas?

Es werden Listen angreifbarer Webseite geführt. Da die Sicherheitsmängel oft nicht bekannt werden, sind die Webseiten über Jahre weiterhin angreifbar. Solche Listen sind bequem … kristallisiert sich ein Konflikt heraus, muss man nur noch in der Liste schauen, ob eine „Webseite mit Potential“ angreifbar ist.

Add Comment

Required fields are marked *. Your email address will not be published.