Gefahr: Blacklisting von infizierten Seiten:
Das sind die fünf gefährlichsten Attacken auf Web-Sites

von Werner Veith (werner.veith@networkcomputing.de)

Share
21.05.2010

Web-Seiten sind hervorragend geeignet für Angriffe auf Nutzer. Zu den Top-5 der Attacken gehören etwa Diebstahl der Administrator-Passwörter oder infizierte Anzeigen. Dasient bietet einen Web-Service, der Internet-Seiten auf Infektionen hin scannt.

(Fortsetzung des Artikels von Seite 2)

Das Web wird immer mehr zum zentralen Ort für Daten und Applikationen. Kein Wunder, dass Cybergangster verstärkt Internet-Sites infizieren. Denn hier kommen die Anwender zu ihnen. Und sie erreichen - gerade bei viel frequentierten Seiten - eine große Anzahl der Nutzer. Der Web-Security-Dienstleister Dasient [1] hat deshalb die Top-5 der Malware-Angriffe über Web-Sites zusammengestellt: schlecht geschützte Web-Anwendungen, Diebstahl von Admin-Passwörtern für Web-Sites, Infektion von Werbe-Bannern, Widgets von Dritten auf Webseiten und Content von Nutzern. Um infizierte Web-Sites zu erkennen, bietet Dasient einen Monitoring-Service als Web-Anti-Malware (WAM) an.

Firefox-Warnung für den Anwender, wenn Dasients Web-Anti-Malware-Service eine infizierte Web-Site blockiert, um den Nutzer zu schützen

Angriffe gegen Web-Applikationen machen einen Großteil der Angriffe im Internet aus. Typische Angriffe sind etwa Schwachstellen in Blogger-Software oder CMS (Content-Management-System), Shop-Anwendungen oder Diskussions-Foren.

Andere Angriffe gehen über Cross-Site-Scripting (XSS) oder SQL-Injections. Letzteres wird dazu verwendet, Malicous-Code in der Datenbank zu platzieren. Wird dann mit Hilfe der Datenbank eine dynamische Webseite erstellt, dann liefert diese den Schadcode mit an den Anwender aus. Es gibt aber auch Angriffe bei denen auf dem Web-Server Malware-Code abgelegt wird.

Um gefährliche Software auf der Web-Site zu platzieren, genügt es auch, wenn der Angreifer die FTP-Zugangsdaten kennt. Dieses bekommt der Angreifer etwa über Trojaner, die FTP-Passwörter per Key-Logger ausspähen. Hat der Kriminelle erst einmal diese, kann er verschiedene Angriffe installieren. Das sind entsprechende Javascripts oder iFrames zu schädlichen Javascript- oder Html-Dateien.

Werbe-Banner als Malware-Transporter

Mittlerweile nutzen Internet-Kriminelle Internet-Werbung für ihre Zwecke: Malvertising. Sie greifen Server an, die Anzeigen ausliefern. Ist ein infizierter Werbe-Banner erst einmal im Ad-Netzwerk gelandet, liefert dieses das Malware-Ad an die Web-Sites aus. Darüber infizieren sich dann Nutzer etwa mit Trojanern, die deren Rechner in ein Botnet integrieren.

Bei Malvertising erhöhen die Kriminellen ihre Reichweite, in dem sie nicht die Web-Site selbst angreifen, sondern einen Verteiler nutzen, der viele Webseiten erreicht. Ein ähnliches Prinzip gibt es bei Widgets, die von Angreifern gehackt und mit Malware versehen werden. Solche Widgets wie Besucherzähler werden von vielen Web-Sites genutzt. Besucher von diesen fangen sich dann die Malware ein.

Aber Daten von Anwendern selbst können den Web-Sites gefährlich werden. Anwender können dort Kommentare, Html-Coder oder Dateien wie Bilder, Videos oder Dokumente einstellen. So können Kommentare zu Blogs, Chat-Rooms oder Message-Boards einen großen Anteil an Spam oder schädlichem Code haben.

Außerdem werden Short-Link-Dienste verwendet, um gefährliche Verweise auf Seiten mit Schadsoftware zu verschleiern. Überprüfen Web-Sites nicht sorgfältig, welche Daten Nutzer eingeben, können diese darüber entsprechenden Html- oder Javascript-Code platzieren.

Doppelt bestraft: Infizierte Web-Sites kommen auf Blacklists

Die Infektion von Web-Site kann für die Betreiber aber noch andere negative Folgen haben: Sie geraten auf Blacklists. In einer Umfrage von Dasient im Juni 2009 haben 39 Prozent angegeben, das ihre Web-Site mehrmals infiziert und auf einer Blacklist gelandet ist. Bedenklich auch die zweite Zahl. Bei 73 Prozent der Web-Sites hat es mehr als einen Tag gedauert, bis sie von dieser wieder entfernt worden sind.

Aus Sicht von Dasient belegt dies die Notwendigkeit für einen Service, der Internet-Sites regelmäßig auf einen Befall überprüft. Der Hersteller hat daher eine Malware-Analyse-Plattform entwickelt, die ähnlich einen Roboter bei Suchmaschinen eine Web-Site absucht. Dabei wird jede Seite auf Malware und Anzeichen auf Einbruchsspuren untersucht.

Findet der WAM-Monitoring-Service einen Befall, alarmiert es die Web-Site-Betreiber und liefert die notwendigen Hinweise, um den Schadcode wieder zu entfernen. Über das Malware-Scanning-API geben Unternehmen dem Service mit, welche URLs es überprüfen soll.

Bei Bedarf schützt der Dienst auch die Internet-Nutzer, bis der Befall entfernt ist. Dazu gibt es zwei Möglichkeiten: Entfernen des Schadcodes beim Aufruf oder Blockade der Website. Bei ersterem wird aller Malware-Code aus dem Web-Daten-Strom entfernt, bevor dieser zum Anwender kommt. Bei letzterem wird lediglich der Abruf der infizierten Seite blockiert. Für beides muss auf dem Web-Server des Betreibers ein Modul von Dasient installiert sein.

[1] http://wam.dasient.com/

Verwandte Artikel