Archiv der Kategorie: April 2013

Viele Webserver zum Ausliefern von Malware manipuliert

avg_logo_deWie heise Security meldet, haben Sicherheitsspezialisten auf vielen Webservern manipulierte Serverdateien gefunden, die Schadsoftware an Seitenbesucher ausliefern. Die mani­pulierten Apache-Binärdateien lassen sich nur schwer auf­spüren, da Zeitstempel und ähnliche Eckdaten intakt bleiben. Die Manipulationen erlauben den Angreifern Zugriff auf den Server. Die veränderten Apaches binden Exploit-Kits von anderen Servern ein, die ähnlich wie Darkleech eine IP nur einmal am Tag angreifen, um nicht so leicht aufspürbar zu sein.

Betroffen sind vor allem Webserver, die mit der Verwaltungssoftware cPanel einge­richtet wurden; diese kommt etwa bei Shared-Hostern zum Einsatz. cPanel setzt dabei nicht auf standardisierte Paketformate wie PKG oder RPM, was eine Über­prü­fung auf Manipulationen erschwert. Erkennen lassen sich die veränderten Dateien, indem man in ihnen nach der Zeichenkette open_tty sucht – laut dem Sicherheits­dienst­leister Sucuri ein eindeutiges Indiz für die Modifikation: grep -r open_tty /usr/local/apache/ liefere auf originalen Systemen keine Ausgabe.

Um seinen Server auf Schädlingsbefall zu untersuchen, kann man auch AVG 2013 für Linux einsetzen. Den kostenlosen Download gibt es hier: http://free.avg.com/de-de/download-free-all-product .

Auch Anwender können sich vor Angriffen mit Exploit-Kits schützen, indem sie AVG einsetzen. Der darin integrierte Surf-Schutz mit Link-Scanner und Online-Shield erkennt viele Variationen dieser Angriffe und kann sie blockieren, bevor es zu Schaden am System kommt.

Links:
http://www.heise.de/newsticker/meldung/Manipulierte-Apache-Binaries-laden-Schadcode-1851245.html

Geschrieben von Dirk Knop

Werbeserver liefern infizierte Banner aus

avg_logo_deDas Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt aktuell vor gehackten Werbeservern, die infizierte Werbebanner ausliefern. Auch namhafte Internetseiten wie die des Nachrichtenmagazins Der Spiegel binden diese Werbebanner ein.

Hat ein Besucher der Webseite veraltete Softwarekomponenten auf dem System, nutzen die infizierten Werbebanner Sicherheitslücken darin aus, um Schadsoftware auf dem Rechner zu installieren. Abhilfe schafft hier neben der Nutzung eines aktuellen Virenscanners wie AVG Internet Security 2013, stets alle Aktualisierungen für installierte Software, die Webbrowser und das Betriebssystem zu installieren.

Privatanwender können sich dabei vom kostenlosen Secunia Personal Software Inspector zur Hand gehen lassen. Diese Software überprüft den Rechner einmal wöchentlich auf die Versionsstände der installierten Software, lädt Aktualisierungen automatisch herunter und versucht, diese einzuspielen.

Links:
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2013/
Verteilung_von_Schadprogrammen_ueber_Werbebanne_05042013.html

Geschrieben von Dirk Knop

Viele Webserver von Darkleech infiziert

avg_logo_deDie Bedrohung ist perfide und kaum zu erkennen: Eine Infektionswelle mit dem Namen „Darkleech“ bedroht Internetnutzer, indem sie Webserver auf Apache-Basis befällt. Von dort aus wird jeder Besucher nur einmalig angegriffen und versucht, Sicherheitslücken in veralteter Software auf dem Rechner zur Infektion des Systems ausnzunutzen.

Dabei geht Darkleech sehr behutsam vor, um nicht erkannt zu werden. Jeder Besucher der Seite wird nur einmal angegriffen. Beim zweiten Besuch der Seite benimmt sich diese völlig normal. Zudem werden bekannte Internet-Adressen von Sicherheits­untern­ehmen überhaupt nicht attackiert.

AVG schützt die Anwender vor den derzeitigen Attacken und meldet dies bei verseuchten Seiten auch als vom Online-Shield blockierte Bedrohung. In jedem beobachteten Fall sollte man den Betreiber der Webseite kontaktieren, damit dieser von der Infektion erfährt und diese bereinigen kann.

Links:
Heise http://www.heise.de/security/meldung/Darkleech-infiziert-reihenweise-Apache-Server-1833910.html

Geschrieben von Dirk Knop