Teil 5: Drive-by-Infektionen: Diese Abwehrstrategien helfen
- Drive-by-Infektionen: Diese Abwehrstrategien helfen
- Teil 2: Drive-by-Infektionen: Diese Abwehrstrategien helfen
- Teil 3: Drive-by-Infektionen: Diese Abwehrstrategien helfen
- Teil 4: Drive-by-Infektionen: Diese Abwehrstrategien helfen
- Teil 5: Drive-by-Infektionen: Diese Abwehrstrategien helfen
Auch in diesem Falle empfiehlt sich zusätzlich plattformübergreifend (unter Windows, Mac OS X und Linux) ein stets aktueller Virenkiller. Außer Webbrowsern können alle Applikationen, die Javascript verstehen, verwundbar sein. Die einzige Methode, um eine Gumblar-Attacke auf einem Client-System z...
Auch in diesem Falle empfiehlt sich zusätzlich plattformübergreifend (unter Windows, Mac OS X und Linux) ein stets aktueller Virenkiller. Außer Webbrowsern können alle Applikationen, die Javascript verstehen, verwundbar sein. Die einzige Methode, um eine Gumblar-Attacke auf einem Client-System zuverlässig zu verhindern, besteht in der Installation der neuesten Aktualisierungen für Adobe Reader, Acrobat und Flash. Adobe hat bereits am 12. Mai Aktualisierungen der Adobe Reader- und Adobe Acrobat-Software bereitgestellt.
Anders als Betriebssystemhersteller, die Updates lediglich für die neuesten Betriebssystemversionen veröffentlichen (also Windows Vista SP1 und Mac OS X 10.5.7), hat Adobe gleich alle drei letzten Hauptversionen seiner Software rückwirkend aktualisiert: die Versionen 7 auf 7.1.2, 8 auf 8.1.5 und 9 auf 9.1.1. Somit sind Benutzer von Adobe Reader und Adobe Acrobat, die ihre Installation aktualisieren, von dem Problem nicht mehr betroffen.
In Zukunft will Adobe Sicherheitsupdates für Adobe Acrobat und Reader an dem zweiten Dienstag eines Quartals, dem sogenannten Patch Day, veröffentlichen.
Unerwartete Schlupflöcher
Doch es gibt immer noch genug andere Schlupflöcher. Mit der Installation von .NET 3.5 SP1 richtet Microsoft in Firefox heimlich die Erweiterung Microsoft .NET Framework Assistant ein, die jeder Webseite die installierte Version des .NET-Frameworks berichtet. Das Add-on hat den Nebeneffekt, dass es Webseiten erlaubt, ohne jegliche Rückfragen Programme zu installieren.
Diese Leichtsinnigkeit lässt sich zwar mit einer Option abschalten, wenn man erst einmal darauf kommt. Aber wer das Add-on komplett loswerden möchte, muss sich mit der Windows-Registry befassen und die Firefox-Konfiguration manuell umändern. Jedenfalls ist das Sicherheitsrisiko nur den wenigsten Anwendern bewusst.
Als infiziert gebrandmarkt
Anhand von Stichproben aus Milliarden von Webseiten, die Google durchcrawlt, konnte die Suchmaschine inzwischen Heuristiken entwickeln, um gefährliche von harmlosen Webseiten zu unterscheiden. Google hat daher auch Schritte eingeleitet, um verseuchte Internet-Seiten, die eine Drive-by-Gefahr darstellen, in der Ergebnisübersicht als solche zu kennzeichnen.
Webmaster infizierter Webseiten werden in vielen Fällen mit einer E-Mail von Google darüber in Kenntnis gesetzt, dass deren Webseiten aufgrund einer Drive-by-Ansteckungsgefahr als bösartig gekennzeichnet werden.
Problem an der Wurzel packen
Web-basierte Malware-Infektionen verdanken ihre starke Verbreitung primär der Tatsache, dass es immer schwieriger wird, eine Webpräsenz verantwortungsvoll zu betreiben. Zur Distribution von Malware bedarf es dagegen erschreckend einfacher Tools, welche als schlüsselfertige Lösungen kommerziell angeboten werden.
Wer ein Web-Portal einrichtet, muss dagegen nicht nur sehr komplexe Software aufsetzen, sondern auch mit regelmäßigen Aktualisierungen dafür sorgen, dass alle bekannten Sicherheitslücken rechtzeitig geschlossen werden.
Bekämpfung von Server-Infektionen
Wurde Ihr Server bereits infiziert, so genügt es nicht, bösartigen Code aus allen Webseiten zu entfernen, die Zugriffsrechte zu korrigieren und FTP durch SFTP zu ersetzen. Solange die ursprüngliche Sicherheitslücke nicht behoben wurde oder im System noch eine Hintertür vorhanden ist, werden Attacken auf den Server nicht aufhören.
Das Durchsuchen aller Web-Dokumente nach eingefügten Javascript-Snippets und iframes verspricht nicht automatisch Erfolg. Javascript-Code kann so verschleiert Im Notfall können Sie Zugriffe auf bekannte Malware-Server von Ihrem Netzwerk heraus sperren, bis Sie die Sicherheitslücken behoben haben.werden, dass er in jeder betroffenen Datei anders aussieht. Da es auch (insbesondere in CMS-gestützten Systemen) durchaus legitime iframe- und <script>-Tags geben kann, können Sie nicht einfach alle automatisch entfernen.
TIPP: Um iframe-Injection aufzufinden und Ihren Server wirksam zu desinfizieren, können Sie einen Dienst namens Servertune Iframe Shield verwenden (). Die einmaligen Kosten betragen rund 110 Euro pro Server.
Betreiber von Websites, die noch nicht infiziert wurden, sollten die Server-Software auf den neuesten Stand bringen, den FTP-Zugang durch SFTP (Secure File Transfer Protocol) ersetzen und alle anderen bekannten Sicherheitslöcher schließen. Überprüfen Sie insbesondere Ihre PHP- und Perl/CGI-Installation und die verwendeten Skripte.
Am besten vorgesorgt
Immer häufiger treten bei Web-Usern Drive-by-Infektionen auf. Wegen der zahlreichen Browser-Verwundbarkeiten reicht bereits ein einziger Besuch einer infizierten Webseite aus, um das Client-System anzustecken. Als Folge davon sind Hacker dann in der Lage, Schwachstellen in den Applikationen der Anwender aufzuspüren und den Download von einer Vielzahl von Malware-Programmen zu erzwingen.
Sehr oft erlauben es diese Malware-Applikationen dem Angreifer, die volle Kontrolle über den kompromittierten Rechner zu erlangen. Doch während sich Malware von einem Desktop-Computer früher oder später mithilfe von Antiviren-Tools entfernen lässt, ist es enorm schwierig, einen infizierten Webserver zu entseuchen. Vorbeugen ist da die beste Strategie.
