Schlagwort: security

  • Black Hat SEO Methode im Trend: Websites hacken, um Links zu platzieren

    Black Hat SEO Methode im Trend: Websites hacken, um Links zu platzieren

    Besondere Vorsicht ist derzeit geboten, wenn Ihr für die
    Website ein CMS einsetzt.
    Ich sehe auf meiner Website zunehmend mehr blinde Anfragen
    auf URLs mit dem Referrer „baidu.com“. Die Zugriffe gehen auf bekannte
    Admin-URLs von verbreiteten und nicht so verbreiteten Content Management
    Systemen.
    Hier sind einige Beispiel von Zugriffen, die ich in den
    vergangenen 24 Stunden gesehen habe:
    http://www.kaekenmeister.de/images/default/publict.css
    http://www.kaekenmeister.de/HX_login.asp
    http://www.kaekenmeister.de/templates/main/default/space_reviews.htm
    http://www.kaekenmeister.de/install.php
    http://www.kaekenmeister.de/www/admin/templates/install/register-step.html
    http://www.kaekenmeister.de/cuteeditor_files/Scripts/spell.js
    http://www.kaekenmeister.de/css/eyou.css
    http://www.kaekenmeister.de/index.php
    http://www.kaekenmeister.de/core/modules/article/assistant/templates/article_list.htm
    … und viele viele mehr.Alle führten auf 404, so dass ich das zeitnah mitbekomme. Ich denke aber, es gibt viele Webseitenbetreiber, denen würde eine Veränderung Ihrer Site gar nicht so schnell auffallen.
    Leider werden die IP Adressen bei meinem Hoster aus Datenschutzgründen nicht in den Logfiles gespeichert, so dass ich den IP Adressblock nicht einfach weg filtern kann. Und
    wenn die Anfragen von einem Botnetz kommen, dann hilft das sowieso nichts.
    Die Anfragen so gezielt, dass ich befürchten muss, dass man
    auch in meinem CMS eine Schwachstelle findet.
    Was also könnte helfen?
    Da meine Website sich nur an deutsche User richtet, könnte
    ich den Zugriff aus asiatischen, chinesischen, russischen IP-Adressblöcken per .htaccess
    Datei sperren. Das scheint mir jetzt etwas übertrieben zu sein.
    Ich möchte
    lieber eine gemeinsame Eigenschaft dieser Anfragen nutzen: Alle Anfragen kommen
    mit dem Referrer baidu.com, der chinesischen Suchmaschine. Es scheint also ein
    Hackertool  geben, das diesen Referrer
    als Standardeinstellung hat. Also versuche ich, den Traffic jetzt mit der
    .htaccess Datei so zu blockieren:
    order allow,deny
    deny from .baidu.com
    allow from all
    Die Aufrufe haben offensichtlich das Ziel, a) festzustellen,
    welches System läuft und b) potentiell vulnerable Elemente in einem
    Zielverzeichnis zu finden. Wenn eine als verletzlich bekannte Datei gefunden
    wird, erhält der anfragende Client eben „sucess“ und nicht 404. Dann kann das
    Hacktool hier weitermachen.

     

    Wahrscheinlich werden viele Websites überhaupt nicht so
    stark verändert, dass schadhafte Codes ihrer Wirkung entfalten können – wie etwa
    eine Phishingseite zu platzieren. Ich denke, dass die Hackscripts versuchen,
    einige Links zu platzieren. Die werden dann verkauft. Das kann aussehen wie auf
    dieser Seite:
    Ein völlig automatisiertes, algoritmisches Verfahren also.
    Es wird wohl nur helfen, immer wieder ein Backup herzustellen und immer die neuste Version des CMS zu verwenden. Ansonsten gibt es seit einiger Zeit die S-Initiative vom Branchenverband eco, Bundeswirtschaftsministerium und einigen Internetfirmen. Man kann sich dafür kostenlos anmelden, einen Securitycheck ausführen zu lassen. S-Initiative schickt dann täglich einen Crawler auf die Website und sendet eine E-Mail, falls schädliche Code-Elemente auf der Startseite gefunden werden.