Ausfall Katholisches.info

Die Sei­ten, die der Leser sieht, wer­den auf unse­ren Ser­vern bei jedem Auf­ruf gene­riert. Hier­bei kom­men Daten­ban­ken und die Script­spra­che PHP zum Ein­satz, die dann die HTML-Sei­te gene­rie­ren.

Gestern mit­tag muß­ten wir fest­stel­len, daß Fremd­in­hal­te unse­ren Inhal­ten beim Zusam­men­stel­len der ein­zel­nen Sei­te hin­zu­ge­fügt wur­den. Da wir ein sehr gutes Moni­to­ring haben und uns nichts aus­ge­wöhn­li­ches bei den Ser­vern auf­fiel, ging ich davon aus, daß außer­halb unse­rer Ser­ver der Fremd­in­halt hin­zu­ge­fügt wird. Zwi­schen Nach­mit­tag und Abend kam ich zu der Erkennt­nis, daß dies zwar theo­re­tisch mög­lich ist, aber sehr sel­ten vor­kommt. Des­wei­te­ren fand ich in kei­nem Admin- oder Secu­ri­ty­fo­rum aktu­el­le Hin­wei­se auf der­ar­ti­ge Mani­pu­la­tio­nen. Des­halb habe ich die­se Form des Angriffs wie­der ver­wor­fen und ent­schie­den die Ser­ver vom Netz  zu neh­men um den Angriff auf Katholisches.info zu ana­ly­sie­ren.

Seit gestern ca. 21:00 Uhr wis­sen wir sicher, daß auf unse­ren Ser­vern kein Schad­pro­gramm läuft, das den Fremd­in­halt zufügt, und zu kei­ner Zeit ein Ein­bruch erfolg­te. Die erste Ver­mu­tung hat sich bestä­tigt. Nach dem unse­re Ser­ver die Sei­te erstellt hat, wird der HTML-Sei­te Fremd­in­halt zuge­fügt und zwar nach­dem die Daten unser Netz ver­las­sen haben. Wo die Daten und durch wenn die Daten mani­pu­liert wer­den kön­nen wir der­zeit nicht sagen. Es muß aber ein Pro­xy-Ser­ver oder Rou­ter sein, der die Daten nach Euro­pa ver­teilt.

Nun hat­ten wir das Pro­blem zu lösen, den Fremd­in­halt unschäd­lich zu machen. Der Fremd­in­halt besteht aus Java­script-Code, Such­ma­schi­nen­spam und gra­fi­schen Anwei­sun­gen. Der Inhalt wird zwi­schen den Tags </head> und <body> ein­ge­fügt. Die­se Tags sind not­wen­dig für die Dar­stel­lung der HTML-Sei­te im Web­brow­ser.

Ein PHP-Ent­wick­ler schreibt in den Code Hin­wei­se. Die­ser Text wird, damit er nicht im Brow­ser ange­zeigt wird und es nicht zu Script-Feh­lern kommt mar­kiert. Das sieht so aus:

 <!-- Hinweis -->

Mit Ein­fü­gen die­ser Zei­chen:

</head><!-- <body <!-- > --> </head> <body>

ist es uns gelun­gen, daß der ein­ge­füg­te Fremd­in­halt nur noch als Kom­men­tar im Quell­text erscheint. Er wird nicht im Brow­ser ange­zeigt und kann kei­nen Scha­den anrich­ten.

Wir haben selbst­ver­ständ­lich unse­re Erkennt­nis­se wei­ter­ge­ben und hof­fen, daß Maß­nah­men ergrif­fen wer­den damit über­haupt kein Fremd­in­halt mehr ein­ge­fügt wird. Katholisches.info ist nicht die ein­zi­ge Web­sei­te, der der Fremd­in­halt ein­ge­schleust wird. Es geht dem Angrei­fer dar­um Such­ma­schi­nen mit bestimm­ten Begrif­fen zu füt­tern.

Wir bedau­ern die lan­ge Zeit in der Katholisches.info nicht erreich­bar war, hof­fen aber auf Ihr Ver­ständ­nis.

Text: Linus Schnei­der

1 Kommentar

  1. Hal­lo,
    mein gro­ßes Kom­pli­ment und Aner­ken­nung an den Admi­ni­stra­tor.
    Es freut mich über alles zu hören, dass „katholische.info“ in guten Hän­den ist.
    Vie­len Dank!!!
    Herz­li­che Grü­ße und Got­tes Segen

Kommentare sind deaktiviert.