Hunderttausende Webseiten mit schädlichem JavaScript infiziert

Hunderttausende kürzlich infizierte Webseiten haben mehrere Sicherheitsdienstleister entdeckt. Sie verweisen alle auf einen chinesischen Server und laden von dort ein JavaScript nach, mit dem Besuchern durch das Ausnutzen von Schwachstellen ein Trojaner untergejubelt werden soll. Betroffen sind sogar Seiten von Regierungseinrichtungen wie beispielsweise der Vereinten Nationen (un.org) und von Großbritannien (.gov.uk).

Laut den Analysen von Websense versucht der Schadcode, insgesamt acht Sicherheitslücken auszunutzen, um den Besuchern der Webseiten unbemerkt Schadcode unterzuschieben, beispielsweise über die bereits im Januar 2007 geschlossene VML-Lücke. F-Secure beobachtete, dass die Angreifer versuchen, auf .asp- und .aspx-Webseiten einzubrechen, indem sie die Parameter der Seiten mit einer verschlüsselten SQL-Anfrage übergeben:

DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(0x4400450043004C0041005200450020004[...]

Entschlüsselt handelt es sich um eine SQL-Abfrage, die alle Textfelder in der Datenbank hinter der Webseite finden und den JavaScript-Code dort einschleusen soll:

DECLARE @T varchar(255)'@C varchar(255) DECLARE Table_Cursor CURSOR FOR select a.name'b.name from sysobjects a'syscolumns b where a.id=b.id and a.xtype='u' and (b.xtype=99 or b.xtype=35 or b[...]

Bei beiden Schnipseln handelt es sich nur um den Anfang der Anfrage. Administratoren eines Servers, der .asp- oder .aspx-Seiten ausliefert (wie etwa Microsofts IIS), sollten die Logfiles auf das Vorkommen derartiger Einträge untersuchen und gegebenenfalls die Datenbank auf injizierte Links überprüfen.

Eine Suche auf Google mit dem injizierten Link förderte mehr als 290.000 infizierte Webseiten zu Tage. Deutschsprachige Seiten sind jedoch seltener betroffen, hier konnte die Suchmaschine nur rund 580 betroffene auffinden. Microsofts Suchmaschine lieferte jedoch bereits knapp 6000 Treffer in deutschsprachigen Angeboten.

Serverbetreiber sollten aufgrund der zunehmenden automatischen Ausnutzung von Schwachstellen in Serverinstallationen ihren Webauftritt auf Sicherheitsmängel hin abklopfen. Hinweise und Anregungen zur Absicherung des eigenen Webservers geben etwa die Artikel Schwachstellensuche mit Fuzzing oder Grundsicherung für PHP-Software auf heise Security.

Siehe dazu auch:

• Mass Attack JavaScript injection, Sicherheitsmeldung von Websense
• Mass SQL injection, Sicherheitswarnung von F-Secure

(dmk/c't)