{"id":271649,"date":"2022-08-19T00:01:00","date_gmt":"2022-08-18T22:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=271649"},"modified":"2024-10-04T21:15:47","modified_gmt":"2024-10-04T19:15:47","slug":"wissen-webseite-als-kompromittiert-gemeldet-wie-geht-man-vor","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/08\/19\/wissen-webseite-als-kompromittiert-gemeldet-wie-geht-man-vor\/","title":{"rendered":"Wissen: Webseite als kompromittiert gemeldet? Wie geht man vor?"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Wer eine Webseite betreibt, wird m\u00f6glicherweise gelegentlich mit dem Problem konfrontiert, dass diese von Sicherheitsportalen oder Benutzern als \"riskant\" gemeldet wird. Dann stellt sich die Frage, wie man vorgehen k\u00f6nnte, um herauszufinden, ob dies ein Fehlalarm ist oder die Webseite kompromittiert wurde. K\u00fcrzlich wurde ich gebeten, eine solche Seite, die von Sicherheitstools als \"sch\u00e4dlich\" ausgewiesen wurde, anzusehen. Im Nachgang habe ich mir \u00fcberlegt, das Ganze in anonymisierter Form kurz hier im Blog zu dokumentieren – vielleicht hilft es mal dem Einen oder Anderen weiter.<\/p>\n

<\/p>\n

\"\"Es war eine E-Mail, die mich erst einmal stutzen lie\u00df – denn die Absenderin war mir nicht bekannt. An der Signatur konnte ich aber schnell erkennen, dass es kein SPAM war, denn die Nachricht kam von einem Sekretariat eines deutschen Sportbunds und lautetet:<\/p>\n

Panda Security sperrt ****-Portal<\/p>\n

Hallo Herr Born,<\/p>\n

keine Ahnung ob die Sperre berechtigt ist, aber seit Wochen wird diese Seite vom L*** gesperrt. Ist da was dran?<\/p><\/blockquote>\n

Normalerweise bin ich nicht in Bezug auf Consulting-Ma\u00dfnahmen im Sicherheitsbereich aktiv. Da die Sportinitiativen aber oft ehrenamtlich getragen werden, habe ich beschlossen, einige Minuten zu opfern, und mir den Sachverhalt anzusehen.<\/p>\n

Seite auf Black-List gelandet<\/h2>\n

Die Mail deutete bereits an, dass die Seite, um die es ging, auf der Black-List einer Sicherheitsl\u00f6sung gelandet ist und diese den Zugriff auf die Webseite auf den PCs der Surfer blockiert. Es wird dann vor der Webseite als sch\u00e4dlich gewarnt. Das kann zutreffend sein, wenn eine Webseite kompromittiert ist. Es kann auch ein falscher Alarm sein.<\/p>\n

Solche falschen Alarme bekomme ich regelm\u00e4\u00dfig, wenn Nutzer mir berichten, dass in ihrer Sicherheitsl\u00f6sung vor borncity.com<\/em> gewarnt w\u00fcrde. Waren bisher alles Fehlalarme – der krasseste Fall, warum der Blog hier schon mal auf einer Black-List landete: Ich hatte einen Phishing-Versuch in einem Beitrag dokumentiert und dort URL auf Phishing-Seiten mit angegeben. Die waren zwar durch Blanks in der URL nicht mehr als URL anw\u00e4hlbar. Aber die nicht funktionierende KI der betreffenden \"Warn-Placebo-Seiten\" interpretierten die Fragmente als Versuch, die Leser auf die Phishing-Seiten weiter zu leiten und ich wurde gesperrt. Ich konnte das dann mit einem Kontakt zu den Betreibern der Black-List kl\u00e4ren und wurde wieder freigeschaltet.<\/p>\n

Hinter den Kulissen laufen in den Blogs\u00a0 hier auf borncity.com<\/em> sowohl Virenscanner als auch Sicherheitsl\u00f6sungen mit, die eine Kompromittierung verhindern oder zumindest melden sollten. Zudem kann ich weitere Scans bei Verdachtsf\u00e4llen ansto\u00dfen. Gelegentlich bekomme ich Meldungen, dass interne Dateien von Plugins modifiziert worden seien – die Code-Inspektion zeigt dann, dass oft die Versionen zwischen den WordPress-Repositories und dem Blog f\u00fcr einige Tage auseinander laufen – dann gibt es Fehlalarme. Bisher bin ich in den 15 Jahren, die die Blogs existieren, sauber durchs Blogger-Leben gekommen.<\/p><\/blockquote>\n

An dieser Stelle w\u00e4re die Frage: Wie gehst Du vor, wenn der Verdacht auf eine Infektion besteht<\/em>. Im eigenen Blog w\u00fcrde ich sofort die internen Scanner und Tools befragen. Aber bei einer fremden Webseite, wie in obigem Fall, habe ich nicht diese M\u00f6glichkeit. Wie ich dann vorgehe bzw. in obigem Fall vorgegangen bin, m\u00f6chte ich nachfolgend kurz beschreiben.<\/p>\n

Befrage Virustotal<\/h3>\n

Um herauszufinden, ob eine Webseite als sch\u00e4dlich erkannt wird, verwende ich f\u00fcr einen ersten Test gerne das von Google betriebene virustotal.com. Auf der Webseite l\u00e4sst sich die URL der zu untersuchenden Webseite auf der Registerkarte URL <\/em>eingeben.<\/p>\n

\"<\/a><\/p>\n

Als ich die URL der verd\u00e4chtigen Webseite eingetippt habe (leider verf\u00fcge ich \u00fcber keinen Screenshot mehr) wurde lediglich ein Treffer gemeldet. Panda war als Virenscanner nicht aufgef\u00fchrt – und das Gro\u00df der Scanner hegte keine Bedenken bez\u00fcglich der Webseite.<\/p>\n

\"<\/p>\n

Die Seite von Virustotal lieferte den Hinweis, dass die Zielseite bereits im Februar 2019 aufgefallen sei – also vor drei Jahren. Und es gab die Info, dass die Sicherheitsl\u00f6sung von Sucuri SiteCheck die Seite als sch\u00e4dlich bem\u00e4ngelt.<\/p>\n

Frage Sucuri SiteCheck<\/h3>\n

Den SiteCheck des Sicherheitsanbieters Sucuri nutze ich hier gelegentlich, um meine Webseite auf m\u00f6gliche Infektionen zu untersuchen. Es lag also nahe, die URL der bem\u00e4ngelten Webseite direkt in Sucuri SiteCheck<\/a> einzutragen und eine Pr\u00fcfung durchf\u00fchren zu lassen.<\/p>\n

\"Sucuri<\/a><\/p>\n

Diese Pr\u00fcfung ist kostenlos und liefert i.d.R. eine detailliertere Analyse, was los ist. Als ich das Ergebnis der gepr\u00fcften Seite sah, fiel mir das Herz in die Hose.<\/p>\n

\"Ergebnis<\/p>\n

Es wurden gleich mehrere Malware-Funde unter diversen URLs gemeldet. Ein Blick auf die Links zu den Funden zeigte mir aber, dass es nicht wirklich Malware-Funde waren. Vielmehr behauptete der Scanner von Sucuri versteckten SEO-Spam gefunden zu haben, der \"bekannt aber sch\u00e4dlich\" sei.<\/p>\n

Unter SEO-Spam werden Eintr\u00e4ge (oft in Kommentaren von Blogs) bezeichnet, die nur ein Ziel haben: Die Webseite des Spammers oder dessen Auftraggeber in Suchmaschinen hoch zu pushen. Oder unbedarfte Nutzer sollen beim Besuch der Webseite zu diesen Zielseiten geleitet werden. Habe ich hier im Blog t\u00e4glich zu hunderten – wobei meine SPAM-Filter das bisher verl\u00e4sslich herausfiltern. In obigem Ergebnis hei\u00dft es noch, dass das der SEO SPAM \"hidden\" sei – die Verlinkung wird also vor dem menschlichen Leser versteckt – er soll nur von Suchmaschinen gefunden werden.<\/p><\/blockquote>\n

An dieser Stelle habe ich mir im Browser den Quellcode angesehen und mal versuchsweise nach \"porno\" gesucht. Prompt wurde ich f\u00fcndig, denn im Quellcode waren versteckte Links untergebracht.<\/p>\n

\"Quellcode\"<\/a><\/p>\n

Obiger Auszug aus dem Quellcode zeigt den Link auf Porno-Seiten, wobei dieser Link \u00fcber eine CSS-Anweisung um -5.000 Pixel aus dem Anzeigebereich heraus positioniert wurde. Ein Seitenbesucher bekam diesen Link also nie zu sehen. Der Link ist aber f\u00fcr Suchmaschinen oder Bots oder auch die Virenscanner sichtbar. Das war der endg\u00fcltige Beweis, dass die Seite kompromittiert war. Die Sperre ist also mehr als berechtigt!<\/p>\n

Sucuri meldete noch, dass der verwendete Apache-Server nicht aktuell war (unterhalb Version 2.4.44) und PHP ist ebenfalls veraltet (Version war unter 7.2.31). Also der typische Fall, wo ein Portal mit Typo3 aufgesetzt und wohl nicht mehr gepflegt worden war. Die Infektion des Quellcodes mit den Porno-Links d\u00fcrfte \u00fcber Schwachstellen erfolgt sein – und das erkl\u00e4rt auch, warum die ersten Funde (laut VirusTotal) bereits am 2018 gemeldet wurden, die letzte Meldung erfolgte am 15.11.2021. Da lag schon l\u00e4nger was im Argen. An dieser Stelle habe ich dann mein \"Analyse-Besteck\" eingepackt und die Kontaktperson \u00fcber das Ergebnis informiert – verbunden mit der Bitte, die Seite offline zu nehmen, durch einen Fachmann auf den aktuellen Stand bringen und von Malware bereinigen zu lassen.<\/p>\n

Vielleicht helfen die obigen Erkl\u00e4rungen dem einen oder anderen Leser bzw. Leserin, falls bei deren Webseite ein \u00e4hnlicher Verdacht aufkommt, bei den ersten Gehversuchen.<\/p>\n

PS: Ich habe beim Schreiben des Beitrags die Webseite nochmals inspiziert. Die ist inzwischen wohl ges\u00e4ubert, obwohl der Sucuri-Check noch \"Funde\" meldet (ein Re-Scan zum Clean-Up hilft nicht – ein Remove von der Black-List ist nur nach einer Anmeldung bei Sucuri m\u00f6glich). Eine Pr\u00fcfung auf diese Funde ergab dann, dass die bem\u00e4ngelten URLs unter dieser Domain nicht mehr existieren. Sucuri scheint bei einer Pr\u00fcfung auf \u00e4ltere Datenbankeintr\u00e4ge zuzugreifen – obwohl da ein Real Time-Check vorgegaukelt wird. Das bitte im Hinterkopf behalten.<\/p>\n

Erg\u00e4nzung:<\/strong> Ich habe aber mal im Nachgang eine Suche nach den obigen URLs im Web durchgef\u00fchrt. Es gibt eine Reihe weiterer deutscher Webseiten, die ebenfalls diesen SEO-SPAM aufweisen und auf Black-Lists gelandet sein d\u00fcrften.<\/p><\/blockquote>\n

\u00c4hnliche Artikel:
\n<\/strong>WordPress: Angriff per Redirect Hack<\/a>
\nAchtung Spam: Phishing\/Missbrauch per Blog-Kommentar<\/a>
\nNachgang zu 'WordPress-Plugin generiert Spam' \u2013 deutsche Webseiten betroffen und referenzieren Escort-Dienste<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Wer eine Webseite betreibt, wird m\u00f6glicherweise gelegentlich mit dem Problem konfrontiert, dass diese von Sicherheitsportalen oder Benutzern als \"riskant\" gemeldet wird. Dann stellt sich die Frage, wie man vorgehen k\u00f6nnte, um herauszufinden, ob dies ein Fehlalarm ist oder die Webseite … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[908,426],"tags":[4338,4328],"class_list":["post-271649","post","type-post","status-publish","format-standard","hentry","category-internet","category-sicherheit","tag-internet","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/271649","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=271649"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/271649\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=271649"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=271649"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=271649"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}