To Whom It Concerns …

Ein wichtiger Hinweis an alle Webseiten-Betreiber!

Zur Zeit scheint sich ein unangenehmer Gast auf verschiedenen Webseiten¹ herumzutreiben, von dem die Seitenbetreiber vermutlich noch gar nichts wissen.

Vermutlich ist es auch ein anderer Schädling als der, der Robert Bašić gerade dazu gezwungen motiviert hat, sein Blog neu aufzuspielen.

Auf irgendeine Weise wurden (bei diesem Schädling und nicht bei dem o.g. Bašić-Schädling) wohl Quelldateien des Blogs gehacked und derartig modifiziert, dass eingehende Anfragen auf die Adresse anyresults.com umgeleitet werden.

Anscheinend aber auch nicht immer! Wenn ich die Seite direkt ansurfe, gibt es anscheinend keine Weiterleitung. Man muss wohl schon einen Referrer übermitteln, um weitergeleitet zu werden. Danach ist die Weiterleitung dann anscheinend auch aus. (Cookies?)

Daher ist das Testen, ob die eigene Seite betroffen ist, etwas schwieriger, weil man beim Versuch, direkt nachzuschauen, eben nicht weitergeleitet wird.

Da ich nicht betroffen bin, habe ich leider keine Chance zu prüfen, in welcher Datei (oder wo in der Datenbank) die betreffende Manipulation stattgefunden hat, so dass ich hier und jetzt keine genaueren Informationen zum Schädling abgeben kann. Leider. Ich würd’ ja gern noch mehr helfen.

Wie kann ich prüfen, ob ich betroffen bin?

Ob die eigene Seite befallen ist, kann man beispielsweise mit dem Kommandozeilenprogramm wget schnell überprüfen. Dazu gibt man einfach folgenden Befehl (eine Zeile!) ein:

wget -UdS --spider --cache=off --cookies=off --referer="http://www.google.com" http://meine-seite.de

Ist die getestete Seite betroffen/befallen, so findet sich in den darauf folgenden Zeilen die 302-Weiterleitung nach anyresults.net, also etwa wie folgt:

--00:35:11-- http://meine-seite.de/
=> `index.html’
Resolving meine-seite.de… done.
Connecting to meine-seite.de[127.0.0.1]:80… connected.
HTTP request sent, awaiting response… 302
Location: http://anyresults.net/ [following]
–00:35:11– http://anyresults.net/
=> `index.html’
Resolving anyresults.net… done.
Connecting to anyresults.net[64.111.199.183]:80… connected.
HTTP request sent, awaiting response… 200 OK
Length: unspecified [text/html]
200 OK

Aufgefallen ist mir das eben vor allem bei folgenden einigen² Blogs, die ich auch per PM benachrichtigt habe oder gleich noch benachrichtigen werde.

1. 1 Ich weiß nicht, ob es nur (WordPress-)Blogs betrifft (mir ist es bisher nur bei einigen Blogs aufgefallen), so dass ich hier einfach für alle schreibe.
2. 2 Eigentlich wollte ich die Blogs hier auflisten (normalerweise freut man sich ja über eingehende Links), aber dann war ich mir doch nicht sicher, ob das den Blogbetreibern wirklich so recht wäre, wenn ich sie quasi an den Pranger stellte. (Auch wenn ich keine Sicherheitsprobleme bei einer Veröffentlichung der Sites sähe, so gebietet menschliches Feingefühl wohl doch ein wenig Zurückhaltung.) Vielleicht weisen sie ja trotzdem auf mich hin, dass ich ihnen Bescheid gegeben habe.

Dieser Beitrag wurde am Freitag, 6. Juni 2008 um 1:44 Uhr veröffentlicht und unter Computer abgelegt. Du kannst die Kommentare zu diesen Eintrag durch den RSS 2.0 Feed verfolgen. Du kannst einen Kommentar schreiben oder ein TrackBack auf Deine Seite einrichten.

Tags: Alert, Hack, Redirect, Sicherheit, WordPress