Die Seiten, die der Leser sieht, werden auf unseren Servern bei jedem Aufruf generiert. Hierbei kommen Datenbanken und die Scriptsprache PHP zum Einsatz, die dann die HTML-Seite generieren.
Gestern mittag mußten wir feststellen, daß Fremdinhalte unseren Inhalten beim Zusammenstellen der einzelnen Seite hinzugefügt wurden. Da wir ein sehr gutes Monitoring haben und uns nichts ausgewöhnliches bei den Servern auffiel, ging ich davon aus, daß außerhalb unserer Server der Fremdinhalt hinzugefügt wird. Zwischen Nachmittag und Abend kam ich zu der Erkenntnis, daß dies zwar theoretisch möglich ist, aber sehr selten vorkommt. Desweiteren fand ich in keinem Admin- oder Securityforum aktuelle Hinweise auf derartige Manipulationen. Deshalb habe ich diese Form des Angriffs wieder verworfen und entschieden die Server vom Netz zu nehmen um den Angriff auf Katholisches.info zu analysieren.
Seit gestern ca. 21:00 Uhr wissen wir sicher, daß auf unseren Servern kein Schadprogramm läuft, das den Fremdinhalt zufügt, und zu keiner Zeit ein Einbruch erfolgte. Die erste Vermutung hat sich bestätigt. Nach dem unsere Server die Seite erstellt hat, wird der HTML-Seite Fremdinhalt zugefügt und zwar nachdem die Daten unser Netz verlassen haben. Wo die Daten und durch wenn die Daten manipuliert werden können wir derzeit nicht sagen. Es muß aber ein Proxy-Server oder Router sein, der die Daten nach Europa verteilt.
Nun hatten wir das Problem zu lösen, den Fremdinhalt unschädlich zu machen. Der Fremdinhalt besteht aus Javascript-Code, Suchmaschinenspam und grafischen Anweisungen. Der Inhalt wird zwischen den Tags </head> und <body> eingefügt. Diese Tags sind notwendig für die Darstellung der HTML-Seite im Webbrowser.
Ein PHP-Entwickler schreibt in den Code Hinweise. Dieser Text wird, damit er nicht im Browser angezeigt wird und es nicht zu Script-Fehlern kommt markiert. Das sieht so aus:
<!-- Hinweis -->
Mit Einfügen dieser Zeichen:
</head><!-- <body <!-- > --> </head> <body>
ist es uns gelungen, daß der eingefügte Fremdinhalt nur noch als Kommentar im Quelltext erscheint. Er wird nicht im Browser angezeigt und kann keinen Schaden anrichten.
Wir haben selbstverständlich unsere Erkenntnisse weitergeben und hoffen, daß Maßnahmen ergriffen werden damit überhaupt kein Fremdinhalt mehr eingefügt wird. Katholisches.info ist nicht die einzige Webseite, der der Fremdinhalt eingeschleust wird. Es geht dem Angreifer darum Suchmaschinen mit bestimmten Begriffen zu füttern.
Wir bedauern die lange Zeit in der Katholisches.info nicht erreichbar war, hoffen aber auf Ihr Verständnis.
Text: Linus Schneider