Bei der letzten c't war eine bootfähige CD mit dem vielgeschmähten Ubuntu 11.04 dabei. Auf meinem kleinen Bildschirm gefällt mir der neue Desktop Unity recht gut, testweise schaue ich mir eigene Webseiten an ... und sehe aus dem Augenwinkel, dass eine Datei imgddd.net aufgerufen wird.

HÄ? Was soll das denn sein?

Auf den ersten Blick sieht das im Quellcode der index.html wie ein Statistik-Tool-Aufruf aus. Aber unterhalb von </body>? Co-Webmaster angerufen und gefragt, ob sie irgendwas in der Richtung installiert hätten. Hat keiner. Hmm.

Die Google-Suche bemüht ... oh je. Scheint so, als sei der ftp-Zugang der Site gehackt worden. In allen index-Dateien findet sich die seltsame Zeile, dazu eine neue Datei microphones.php, die keineswegs php-Code enthält, ein neues .log-Verzeichnis, ein neues Verzeichnis guestbook ...

Praktischerweise scheinen alle Dateien am 4. Mai geändert worden zu sein. Also alle Verzeichnisse geprüft (wieder ein Argument, möglichst wenig alten Schrott herumliegen zu lassen!), Kram gelöscht. Passwörter gewechselt.

Unter Umständen ist einer unserer Webmaster-PCs kompromittiert. Albtraum.

Der russische Sicherheitsfachmann Denis Sinegubko erläutert die Funktionsweise des Hacks und wie man die Malware los wird in seinem Blogbeitrag Thousands of Hacked Sites Seriously Poison Google Image Search Results.

PS: Wenn ich es mir recht überlege, scheint eine Brute-Force-Attacke auf das FTP-Passwort am wahrscheinlichsten. Das war wohl zu simpel. Man sollte Ratschläge nicht bloß schreiben, sondern auch befolgen!