Rainer fragte sich und die
identi.caer (später auch die Blogleser), ob denn die Webseite von Ilse Aigner gehackt ist. Der erste Blick auf die Seite liess mich in der Tat erstaunen:
Ich habe die Firefox-Erweiterung NoScript aktiviert und die
Browserweiche der Webseite wurde aktiv. Aber bereits hier war das
Problem im HTML-Code zu sehen. Eine enorme Menge JavaScript. Im
erweiterten Teil des Beitrages findet ihr den kompletten
Schnippsel. Ich habe da nur an jedem Semikolon einen Umbruch
eingebaut.
Innerhalb des JavaScript-Teiles werden diverse Variablen angelegt
und nie benutzt. Es gibt die merkwürdige Zeile eturn
’h3t)t|p3:3/3/)q)l)k|eJ.Jr)u$/|i|nJd)e|x).)h|t|m|l|’.qK(/[\|J\$3\)]/g,
’’);
und andere Nettigkeiten. Ich habe dann mal versucht, das
Puzzle sinnvoll wieder zusammen zu setzen. Nach meiner Meinung dient
der Code dazu, innerhalb der Webseite einen Bereich zu öffnen
(IFrame). Dort wird der Inhalt der Seite qlke.ru/index.html
geladen. Im nächsten Schritt wäre es also von Interesse, was in dieser
Datei steht.
Ich versuchte also zunächst ein GET /index.html
HTTP/1.1
bei der Seite und erhielt als Antwort:
HTTP/1.1 200 OK
Server: nginx
Date: Fri, 18 Jun 2010 13:00:01 GMT
Content-Type: text/html
Connection: close
Last-Modified: Mon, 14 Jun 2010 15:01:58 GMT
ETag: “a6600e-2881-488fec52d6580”
Accept-Ranges: bytes
Content-Length: 10369
Vary: Accept-Encoding
404 Not found
Wie man sieht, habe ich den Abruf heute gemacht. Leider habe ich
den kompletten HTTP-Header nicht gespeichert. Insofern könnte der Teil
ab Last-Modified vorher anders gewesen sein. Sehr markant
finde ich, dass der Webserver meint, es sei alles in Ordnung (200 OK),
währenddessen eine nicht gefundene Seite vorgespiegelt wird. Das kann
natürlich ein Fehler in der Konfiguration sein. Viel wahrscheinlicher
hielt ich das jedoch für einen Platzhalter, der später durch Schadcode
ersetzt wird. Mittlerweile hat sich diese Vermutung wahrscheinlich
bestätigt. Denn diese Seite enthält jetzt HTML und wieder
JavaScript. Das lädt dann Code von der Seite
http@//bijitersto@com/cgibin/index@php (Ich habe mal
Doppelpunkt und Punkt durch @ ersetzt) nach. Firefox meldet diese
Seite sofort als attackierende Seite. Also seit vorsichtig beim
Betreten.
Der Server auf dem qlke.ru läuft, steht derzeit in Österreich. Die
zweitgenannte Seite läuft derzeit auf einem Rechner in der
Ukraine. Also insgesamt sieht das Ganze nicht unbedingt so aus, als ob
das die Verbraucherschutzministerin ihren Besuchern anbieten will.
Ich frage mich, wie der Quellcode überhaupt auf die Seite von
ilse-aigner.de gekommen ist. Hat da jemand den Rechner gehackt
bzw. die Software, die die Webseiten ausliefert? Offensichtlich hatten
die Besucher der Webseite von Ilse Aigner viel Glück. Denn die
Angreifer hatten ihre Munition noch nicht an den Start gebracht. Ein
erster Kontaktversuch zu den Betreibern der Webseite von Ilse Aigner
lief leider ins Leere, da E-Mails an den Webmaster als unzustellbar
zurückkamen. Ich werde eventuell Frau Aigner direkt um Stellungnahme
bitten. Falls ich Rückmeldung erhalte, werde ich nochmal ein paar
Zeilen dazu schreiben.
Continue reading "Schadcode bei ilse-aigner.de?"