Geknackte Webserver verbreiten Trojaner

Das US-CERT und das Internet Storm Center (ISC) melden eine erhöhte Zahl von Einbrüchen in Webserver, auf denen Microsofts Internet Information Server (IIS) läuft. Die Einbrecher manipulieren die Server derart, dass sie an die ausgelieferten Seiten spezielle JavaScripte anhängen. Die HMTL-Dokumente selbst werden nicht manipuliert. Die Scripte nutzen nach derzeitigen Erkenntnissen zwei bekannte, aber noch nicht gestopfte Sicherheitslücken im Internet Explorer aus, um den Besucher schon beim Besuch der Seite mit dem Trojaner RAT zu infizieren. RAT liest unter anderem die Tastatureingaben mit und sendet sie an Server ins Internet und öffnet zusätzlich eine Backdoor.

Allem Anschein nach birgt er auch Funktionen in sich, um später zu einem Spam-Bot zu mutieren. Noch ist weder bekannt, wer die Einbrüche begangen hat, noch durch welche Sicherheitslücke im IIS dies begünstigt wurde. Es gibt allerdings Hinweise, dass russische Spammer die Einbrüche begangen haben könnten. Eventuell nutzen die Angreifer eine bislang unbekannte Schwachstelle im Server aus, für die es noch keinen Patch gibt.

Wie viel Webserver weltweit genau betroffen sind, ist nicht bekannt, die Zahl steigt aber weiterhin. Administratoren sollten die HTML-Seiten ihres Webangebots auf verdächtige Skripte durchsuchen. Der Code findet sich laut US-CERT immer am Ende einer aufgerufenen Seite und wird durch die Funktion "enable document footer" angehängt. Anwender können ihren Client durch Deaktivieren von ActiveScripting gegen die aktuellen Angriffe schützen.

Siehe dazu auch: (dab/c't)

• Security Advisory von Internet Storm Center
• Security Advisory des US-CERT