Skip to content

imgddd.net

Bei der letzten c't war eine bootfähige CD mit dem vielgeschmähten Ubuntu 11.04 dabei. Auf meinem kleinen Bildschirm gefällt mir der neue Desktop Unity recht gut, testweise schaue ich mir eigene Webseiten an ... und sehe aus dem Augenwinkel, dass eine Datei imgddd.net aufgerufen wird.

HÄ? Was soll das denn sein?

Auf den ersten Blick sieht das im Quellcode der index.html wie ein Statistik-Tool-Aufruf aus. Aber unterhalb von </body>? Co-Webmaster angerufen und gefragt, ob sie irgendwas in der Richtung installiert hätten. Hat keiner. Hmm.

Die Google-Suche bemüht ... oh je. Scheint so, als sei der ftp-Zugang der Site gehackt worden. In allen index-Dateien findet sich die seltsame Zeile, dazu eine neue Datei microphones.php, die keineswegs php-Code enthält, ein neues .log-Verzeichnis, ein neues Verzeichnis guestbook ...

Praktischerweise scheinen alle Dateien am 4. Mai geändert worden zu sein. Also alle Verzeichnisse geprüft (wieder ein Argument, möglichst wenig alten Schrott herumliegen zu lassen!), Kram gelöscht. Passwörter gewechselt.

Unter Umständen ist einer unserer Webmaster-PCs kompromittiert. Albtraum.

Der russische Sicherheitsfachmann Denis Sinegubko erläutert die Funktionsweise des Hacks und wie man die Malware los wird in seinem Blogbeitrag Thousands of Hacked Sites Seriously Poison Google Image Search Results.

PS: Wenn ich es mir recht überlege, scheint eine Brute-Force-Attacke auf das FTP-Passwort am wahrscheinlichsten. Das war wohl zu simpel. Man sollte Ratschläge nicht bloß schreiben, sondern auch befolgen!

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

blogZicke am :

Gut das dir das überhaupt aufgefallen ist!

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

Textile-Formatierung erlaubt
Formular-Optionen