Wer bei Google, Bing oder Yahoo in den letzten Tagen nach Grundig-Produkten suchte, landete ziemlich sicher auf einer dubiosen Web-Seite. Wenn man die Grundig-Seiten direkt aufrief, indem man etwa die URL in der Adressleiste eintippte, erschien alles normal.

Aufgrund genauerer Analysen zeigte sich, dass der Grundig-Server alle Besucher, die von einer der Suchmaschinen kommen, über eine spezielle HTTP-Antwort weiter schickt. Bereits im Januar haben Blogger einen ähnlichen Sachverhalt auf einem anderen Server analysiert. Über eine Sicherheitslücke in einer alten PHP-Version wurde damals zusätzlicher Code in die Web-Seiten eingebaut.

Wenn man den Code dekodiert, erhält man eine Abfrage des Referers auf "google", "bing" oder "yahoo" und bei einem Treffer den Umleitungsbefehl. Nicht ganz klar ist, was die Angreifer konkret mit diesem Einbruch bezweckten. Es ist besonderes heimtückisch auf diese Art einen Server zu kompromittieren, weil er bei einem direkten Aufruf der Seiten nicht sichtbar ist und somit dem Betreiber durchaus längere Zeit entgehen kann. Nachdem Grundig am Wochenende über das Problem informiert wurde, wurde die Umleitung offenbar entfernt. Es ist nicht auszuschließen, dass sich die Angreifer dabei nicht auf diese simple Umleitung beschränkt haben, da sie eigenen PHP-Code auf dem Server ausführen konnten.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE