Skip to content

Schadcode bei ilse-aigner.de?

Rainer fragte sich und die identi.caer (später auch die Blogleser), ob denn die Webseite von Ilse Aigner gehackt ist. Der erste Blick auf die Seite liess mich in der Tat erstaunen:

Webseite ohne JavaScript

Ich habe die Firefox-Erweiterung NoScript aktiviert und die Browserweiche der Webseite wurde aktiv. Aber bereits hier war das Problem im HTML-Code zu sehen. Eine enorme Menge JavaScript. Im erweiterten Teil des Beitrages findet ihr den kompletten Schnippsel. Ich habe da nur an jedem Semikolon einen Umbruch eingebaut.

Innerhalb des JavaScript-Teiles werden diverse Variablen angelegt und nie benutzt. Es gibt die merkwürdige Zeile eturn ’h3t)t|p3:3/3/)q)l)k|eJ.Jr)u$/|i|nJd)e|x).)h|t|m|l|’.qK(/[\|J\$3\)]/g, ’’); und andere Nettigkeiten. Ich habe dann mal versucht, das Puzzle sinnvoll wieder zusammen zu setzen. Nach meiner Meinung dient der Code dazu, innerhalb der Webseite einen Bereich zu öffnen (IFrame). Dort wird der Inhalt der Seite qlke.ru/index.html geladen. Im nächsten Schritt wäre es also von Interesse, was in dieser Datei steht.

Ich versuchte also zunächst ein GET /index.html HTTP/1.1 bei der Seite und erhielt als Antwort:

HTTP/1.1 200 OK
Server: nginx
Date: Fri, 18 Jun 2010 13:00:01 GMT
Content-Type: text/html
Connection: close
Last-Modified: Mon, 14 Jun 2010 15:01:58 GMT
ETag: “a6600e-2881-488fec52d6580”
Accept-Ranges: bytes
Content-Length: 10369
Vary: Accept-Encoding

404 Not found

Wie man sieht, habe ich den Abruf heute gemacht. Leider habe ich den kompletten HTTP-Header nicht gespeichert. Insofern könnte der Teil ab Last-Modified vorher anders gewesen sein. Sehr markant finde ich, dass der Webserver meint, es sei alles in Ordnung (200 OK), währenddessen eine nicht gefundene Seite vorgespiegelt wird. Das kann natürlich ein Fehler in der Konfiguration sein. Viel wahrscheinlicher hielt ich das jedoch für einen Platzhalter, der später durch Schadcode ersetzt wird. Mittlerweile hat sich diese Vermutung wahrscheinlich bestätigt. Denn diese Seite enthält jetzt HTML und wieder JavaScript. Das lädt dann Code von der Seite http@//bijitersto@com/cgibin/index@php (Ich habe mal Doppelpunkt und Punkt durch @ ersetzt) nach. Firefox meldet diese Seite sofort als attackierende Seite. Also seit vorsichtig beim Betreten.

Der Server auf dem qlke.ru läuft, steht derzeit in Österreich. Die zweitgenannte Seite läuft derzeit auf einem Rechner in der Ukraine. Also insgesamt sieht das Ganze nicht unbedingt so aus, als ob das die Verbraucherschutzministerin ihren Besuchern anbieten will.

Ich frage mich, wie der Quellcode überhaupt auf die Seite von ilse-aigner.de gekommen ist. Hat da jemand den Rechner gehackt bzw. die Software, die die Webseiten ausliefert? Offensichtlich hatten die Besucher der Webseite von Ilse Aigner viel Glück. Denn die Angreifer hatten ihre Munition noch nicht an den Start gebracht. Ein erster Kontaktversuch zu den Betreibern der Webseite von Ilse Aigner lief leider ins Leere, da E-Mails an den Webmaster als unzustellbar zurückkamen. Ich werde eventuell Frau Aigner direkt um Stellungnahme bitten. Falls ich Rückmeldung erhalte, werde ich nochmal ein paar Zeilen dazu schreiben.

Continue reading "Schadcode bei ilse-aigner.de?"

Podiumsdiskussion zu Überwachung

Am Dienstag, den 15. Juni 2010, findet an der FSU Jena eine Podiumsdiskussion zum Thema Überwachung statt. Genauer gesagt, wurde vom Fachschaftsrat Philosophie das Zitat von Benjamin Franklin Diejenigen, die für ein wenig vorübergehende Sicherheit grundlegende Freiheiten aufgeben, verdienen weder Freiheit noch Sicherheit. als Diskussionsgrundlage gewählt. Auf der Bühne diskutieren der Direktor der Jenaer Polizeidirektion Heiko Böhme, Gerald Albe von den Piraten Jena sowie meine Wenigkeit. Professor Oppellander wird als Moderator dafür sorgen, dass die Fetzen nicht allzustark fliegen. :-) Wer von euch also Interesse hat, sollte um 18 Uhr im Hörsaal 3 am Carl-Zeiss-Platz vorbeischauen. Ich hoffe, es wird eine interessante Runde!

Zensieren für Anfänger

Der Twitterer TheCake meldete gestern, dass Netzpolitik in seiner Schule gesperrt ist. Heute lieferte er den Screenshot nach:

@netzpolitik hier ist der Screenshot. Zugriff mit Firefox, 'T... on Twitpic

Die zugrundeliegende Software nennt sich Schulfilter Plus und stammt von der TIME for kids Informationstechnologien GmbH. Laut Internet Law ist der Freistaat Bayern ein Musterland bei der Initiative für ein sauberes Internet an bayerischen Schulen. Wie es scheint, ist die Software bei Schülern nicht so beliebt. Jedenfalls legen das die Suchvorschläge von Google nahe:

Suchvorschläge von Google für Time for kids

In den Kommentaren zum Beitrag bei Netzpolitik sind mehrere gesperrten Seiten genannt. Unter anderem auch SelfHTML, die die Schüler benötigen.

Alles in allem sollten sich die Schulen wohl eher darauf konzentrieren, Schülern Noten zu verpassen statt Schüler zu zensieren. :-)

cronjob