30 Reaktionen zu “Die eigene Webseite als Spam Schleuder: der Google Conditional Hack”

Kommentare abonnieren (RSS) oder TrackBack URL

Raffiniert! Wie die Angreifer auf den Server gekommen sind, würde mich auch mal interessieren…

Alex Kellner am 02. Mai 2011 um 09:20

unsichere extensions, infizierter client sind wohl die häufigsten möglichkeiten

Georg Ringer am 02. Mai 2011 um 09:31

Nach unserer Erfahrung erfolgen derzeit ca. 80% der Hacks über FTP-Zugänge, deren Zugangsdaten durch Trojaner auf den Rechnern der FTP Benutzer ausgespäht wurden.
Nach Möglichkeit sollte man auf FTP ganz verzichten (beim FTP Protokoll werden auch die Zugangsdaten unverschlüsselt übertragen). Falls man es doch benutzen muss, dann sollte man das FTP Passwort nicht speichern sondern jedesmal von Hand eingeben. Und der FTP Zugang sollte nicht auf das Startverzeichnis einer Domain sondern nur auf das wirklich für den FTP Transfer benötigte Verzeichnis (z.B. für Bilder) beschränkt werden.

Jochen Weiland am 02. Mai 2011 um 09:50

Hier ein passender Shellbefehl zum Auffinden von den o.g. Dateien am Beispiel include.php:

find /pfad/zu/webs | grep typo3conf | grep include.php

Alexander Grein am 02. Mai 2011 um 10:40

Also wenn ich mir die beiden genannten TYPO3 Webseiten aus dem Bericht anschaue, dann stelle ich fest, dass die eine Webseite TYPO3 4.2 und die andere TYPO3 4.0(!) einsetzt. Da kann man sich schon fast vorstellen, wie häufig dann Extension-Updates eingespielt werden.

Torben Hansen am 02. Mai 2011 um 10:46

Hier http://www.myseosolution.de/homepage-kirche-gehackt-viagra-spam/ gibts eine Liste mit vielen infizierten Seiten, nur ein paar sind TYPO3. Bei Google Webmaster Tools gibts übrigens die Option „Aufruf wie GoogleBot“ (unter Diagnose), damit kann man sehen, wie der Code für die Google Bots aussieht.

Peter Linzenkirchner am 02. Mai 2011 um 22:22

Ich beobachte und beseitige den Hack (bei WordPress heißt er Pharma-Hack) seit dem 05. April 2011.
Ich vermute auch einen gekaperten FTP-Zugang und mache es nun wie im Kommentar von Jochen Weiland empfohlen + SFTP.
TYPO3-Version _war_ 4.2

Martin Schulze am 04. Mai 2011 um 09:30

Danke für diesen Hinweis.
Habe mich direkt auch in der Announcement Mailing-Liste eingetragen. Scheint wirklich wichtig zu sein.

Einen lieben Gruß
Heike Herzog-Kuhnke

Heike Herzog-Kuhnke am 05. Mai 2011 um 12:19

Danke für die Info, den raschen Kontakt von Steffen auf die Anfrage von Claude und hier unsere Erfahrung zu „dem Thema“: http://blog.namics.com/2011/05/google-viagra-a.html

Jürg Stuker am 06. Mai 2011 um 13:46

Um diese Art von Hack besser erkennen zu können haben wir bei uns das Firefox-Plugin „User Agent Switcher“ installiert und können uns so sehr einfach als Google-Bot ausgeben. Bei gehackten Seiten kann man so sehr schnell sehen, ob man betroffen ist.

Heiko Kromm am 20. Mai 2011 um 16:53

Aus aktuellem Anlass: die TYPO3 Webseite von Grundig wurde wohl auch entsprechend manipuliert: http://www.heise.de/newsticker/meldung/Sicherheitsluecke-zum-Traffic-Klau-genutzt-1255583.html

Peter Kraume am 06. Juni 2011 um 12:01

Erst mal vielen Dank für diesen Beitrag, wir hatten heute das gleich Problem bei uns entdeckt. Gibt es mittlerweile ein Probates Mittel gegen diesen Hack?

Währe wohl bitter nötig. Nur mal „typo3conf/include.php“ (mit Anführungszeichen) in Google eingeben.
Und das sind nur die Seite bei dehnen daruch ein Fehler verursacht wird.

Sjoeren am 04. August 2011 um 16:17

Die einzigste Empfehlung, die man momentan geben kann: TYPO3, Webserver, etc. auf dem neuesten Stand halten, Sicherheitsupdates zeitnah einspielen und sichere Passwörter wählen.

Peter Kraume am 04. August 2011 um 16:34

*und* kein FTP

Georg Ringer am 08. August 2011 um 19:05

Hat jemand eine Idee wie man bei google und co den Suchindex komplett neu indizieren lassen kann, nachdem man den google conditional hack bereinigt hat?

mwaskowski am 20. Januar 2012 um 10:25

Hallo,
wenn man nun die veränderten Dateien gefunden hat und wieder in den original Zustand versetzt hat, gibt es dann noch weitere Stellen wo Schadsoftware sein kann? Oder hat man damit die Gefahr dann gebannt? An den oben genannten Stellen habe ich natürlich nachgesehen.

Didlido am 26. Januar 2012 um 15:53

@Didlido
Es kann durchaus sein, dass das System von mehreren Angreifen, über mehrere Wege infiziert wurde. Wenn wirkliche keine Dateien mit verdächtigen Inhalten (encoded) mehr vorhanden sind, ist wohl das Dateisystem sauber… Falls man etwas übersehen hat, kann es aber auch sein, dass die Seite noch irgendwo ein Backdoor hat.
Es ist jedoch durchaus möglich, dass beim Angriff Passwörter und Usernamen, sowohl von Typo3 als auch vom System, entwendet wurde und der Angrieffer sich dadurch wieder Zugriff auf das System verschaffen kann.

Noel Bossart am 01. Februar 2012 um 08:30

Das Problem ist, ich habe fast täglich neuen Schadcode. Allerdings wurden schon alle Zugänge geändert. Trotzdem scheint noch eine Lücke zu sein. Jetzt bräuchte ich allerdings eine Idee, wie man den Rest raus bekommt.

Didlido am 01. Februar 2012 um 09:17

@Didlido Wenn du wirklich täglich neuen Schadcode auf dem Server hast, bleibt dir dir nur, den Server und TYPO3 mit allen Extensions, etc. neu aufzusetzen und keine Daten ungeprüft vom alten Server zu übernehmen.

Peter Kraume am 01. Februar 2012 um 09:30

Seite deaktivieren, Logfiles auf Einbruchstechnik untersuchen, Code komplett säubern, Einbrüche künftig unterbinden.
Wenn es nicht möglich ist, herauszufinden, wie der Einbrecher auf den Server kommt, dann stimme ich Peter zu.
Gruß, Alex

Alex Kellner am 01. Februar 2012 um 09:33

hallo, habe mir entsprechenden code beim aufbau eines neuen wp blogs eingefangen, seitdem laufen angriffe auf meine webspace und accounts wp ohne ende, obgleich ich alle kennwörter geändert habe, kommen die jungs rein, eine nervensache, dabei geht traffic, umsatz verloren, horrortrip, heute gab es 3 versuche, in meine blogs zu kommen,

der angriff kommt bei mir aus china, was der wert ist, weiß ich nicht, die jungs könnten eigene seiten bauen, aber ich stehe vor der entscheidung, meine account und 3 jahre arbeit zu verlieren

gruss mausi

mausi am 16. März 2012 um 21:12

Schade, daß hier nicht steht, wie man solche Schad-Dateien identifizieren und anschließend entfernen kann.

Es muß doch für sowas Analysewerkzeuge geben?

Remo am 14. November 2018 um 23:12

Hallo Remo,

im idealfall siehst du dies mit z.B. einem rsync in deinem Deployment-Prozess. Alterantiv hast du keine andere Wahl als die Dateien mit einem anderen Tool gegenüber den passenden Dateien zu vergleichen.

Beste Grüße,
Tim

Tim Lochmüller am 15. November 2018 um 17:42
Trackbacks & Pingbacks

Die eigene Webseite als Spam Schleuder: Google Conditional Hack…

Seit ein paar Monaten macht eine neue Art von Website Hack die Runde: der Google Conditional Hack. Dabei wird PHP Code in die Webseite eingeschleust, der den Useragent des Besuchers auswertet….

Pingback von t3n.de/socialnews am 02. Mai 2011 um 09:32

[…] just to get some clicks for their “sensational” fairy tales. But there are also blog posts which are written with a good intention, but seem to lead to the wrong conclusions. What stays in […]

Pingback von Misunderstanding hacked websites | TYPO3 Security Blog am 05. August 2011 um 02:01

[…] vielen Fällen, wo Angreifer versuchen, Schadcode oder einen Conditional Hack in einer Webseite unterzubringen, wird einfach nur die zentrale index.php oder index.html Datei […]

[…] Update (4. Mai): Hier noch einen Post von Peter Kraume zu demselben Thema: Die eigene Webseite als Spam Schleuder: der Google Conditional Hack […]

Pingback von Google-Viagra-Angriff auf Typo3 – Namics Weblog am 14. März 2012 um 15:10

[…] damit verbracht, mich über eine relativ neue Art von Hack schlau (naja) zu machen, den “google conditional hack“: Irgendwann letztes Jahr tauchten vermehrt Seiten auf, die bei einem normalen Besuch mit dem […]

Pingback von Eintrag "Google Conditional Hack" beim Webrocker am 11. Juni 2012 um 22:36

[…] Art des Hacks ist an sich nichts Neues. Bereits im Mai 2011 habe ich über den Google Conditional Hack berichtet. Damals wurden Dateien auf dem Webserver so manipuliert, das Besucher von Google auf Webseiten für […]

[…] just to get some clicks for their “sensational” fairy tales. But there are also blog posts which are written with a good intention, but seem to lead to the wrong conclusions. What stays in […]

Pingback von Misunderstanding hacked websites | Unser Agentur-Blog am 22. März 2016 um 13:23

Kategorien

Archiv