Eine Frage an die Sicherheitsexperten hier

Endlich komme ich mal wieder zum Posten hier im Forum, nur leider ist der Grund kein angenehmer für mich.
Zum Problem, mit dem ich mich herumschlagen musste:

Eine Website hat nur die User des IE (in den letzten 3 Versionen zumindest) zu einer Malwaresite weitergeleitet.

Dieses Phänomen trat allerdings nicht bei jedem Seitenaufruf auf, jedoch vermehrt bei Erstbesuchern und nach löschen der Lokaldateien des IE.
Der Gedanke an XSS oder Injection war natürlich der erste, allerdings ließ sich nichts verdächtiges feststellen. Das verwendete CMS war auch so konfiguriert, dass nur ein kleiner Personenkreis Inhalte posten konnte und die haben keine Ahnung von derartigen Attakiermethoden.
Ein kleines „Sicherheitsleck“ fiele mir noch ein, in einem Ordner ist scheinbar noch eine Datei gelegen, mit der ich Zugriff per http hatte, um im Notfall von überall aus kleine Änderungen vornehmen zu können, allerdings war der Ordner auflistungsgeschützt durch eine index.html.

Nach Einspielen eines Backups war der Fehler auch nicht behoben und so hab ich die Seite einfach mal off genommen, indem ich die index.php umbenannt habe.
Tja, auch das brachte nicht den gewünschten Erfolg, selbst nach einer allesverbietenden .htaccess blieb die böse Weiterleitung bestehen.

Auch eine bereits erfolgte Infektion meines Rechners oder des IE kann ich nach eingehender Prüfung ausschließen.

Nun meine Frage:
WTF? Fällt jemanden von Euch noch eine Erklärung ein, was da abging? o.0
[size=85]
Wie das Problem jetzt behoben wurde, weiß ich (zumindest noch) nicht, eine Firma hat sich dann mit dem Problem auseinander gesetzt, und die Seitenbesitzerin konnte nur DAU-chinesisch von sich geben, als ich gefragt habe.[/size]

Das kann man aufgrund der pauschalen Beschreibung ja kaum
feststellen.

Wenn das Problem nur beim MSIE auftritt, weist das darauf hin,
daß das primäre Problem eine Sicherheitslücke in diesem browser
ist. Kann man vermeiden, indem man das Teil einfach nicht
verwendet oder die Sicherheitseinstellungen so verbessert, daß
nichts mehr passiert (etwa die Interpretation von java-script und
activeX deaktivieren).

Dann ist es doch vermutlich so, daß auf welchem Wege auch
immer, jemand oder etwas den ausgegebenen Inhalt der Seite
so manipuliert hat, daß über die Sicherheitslücke des MSIE
der Blödsinn verbreitet wurde. Wenn das Problem auftritt, sollte
also im Quelltext der Seite etwas gefunden werden (ein Skript
etwa), welches von dem abweicht, was der Seitenbetreuer
eingestellt oder installiert hat - das ist das böse Zeug, wo man
dann gegebenenfalls anhand des Inhaltes analysieren kann, mit
welcher Methode das eingeschleust wurde - also man
recherchiert, ob andere schon mal das gleiche Problem hatten
und zur Diskussion eben Teile des bösen Quelltextes angegeben
haben, auf das auch andere von ihren Erkenntnissen profitieren
können.
Daraus kann man dann eventuell schließen, wo das
Sicherheitsloch vom verwendeten PHP-Skript liegt, daß der Inhalt
darübe manipuliert werden konnte. Wenn das PHP-Skript weit
gebräuchlich und gut dokumentiert ist, kann man das Problem
vielleicht auch in den Fehlerlisten der Dokumentation nachgucken,
vielleicht ist der Fehler ja bei einer neueren Version schon
behoben.

Bei weit verbreiteten Skripten kann man auch vermuten, daß
mittels von Robotern mehr oder weniger zufällig nach Projekten
gesucht wird, die ein angreifbares Skript verwenden, worauf dann
automatisch manipuliert wird. Solch ein Angriff ist dann also nicht
persönlich auf das Projekt gerichtet und bedingt keine besondere
Bekanntheit, kann einfach ein Zufallstreffer sein, der mehr davon
abhängt, was für ein Skript da betrieben wird.

Danke für Deine Antwort.

Natürlich hab ich mich auch über bekannte Sicherheitslücken des CMS informiert und nach ähnlichen Problemen suchmaschiniert, allerdings ohne einen ansatzweise hilfreichen Treffer.

Das grausame ist ja, selbst wenn die Seite keine Daten mehr schickt und nur die Serverinfo, oder mit htaccess die Verweigerungsmeldung zu sehen ist, passierte es trotzdem.

Seite gehackt, schön und gut, aber wenn die gar nicht mehr on ist und die Weiterleitung trotzdem besteht? grübel

[quote=“Berni_Boy”]Das grausame ist ja, selbst wenn die Seite keine Daten mehr schickt und nur die Serverinfo, oder mit htaccess die Verweigerungsmeldung zu sehen ist, passierte es trotzdem.

Seite gehackt, schön und gut, aber wenn die gar nicht mehr on ist und die Weiterleitung trotzdem besteht? grübel[/quote]
Dann wäre es interessant, mal sowohl clientseitig (HTTP-Sniffer) als auch serverseitig (access-Log, ggf. error- und request-) zu sehen, wie der HTTP-Verkehr bei ein solch einem Request und der Antwort darauf aussieht.

@ Berni_Boy

Yo,
mich würde ja mal interessieren von welcher Website du sprichst :sunglasses:

da das problem behoben wurde, ist sniffen nicht mehr möglich und anschauen bringt auch nix…
nachdem ich die seite aus der hand gegeben habe, weiß ich jetzt natürlich nicht, was das problem war (worüber ich nicht unglücklich bin bei dauernden serverproblemen und einem absoluten DAU als auftraggeber, der in der betriebsanleitung rumklickt und meint, die seite geht nicht etc.)
grundsätzlich hat mich nur interessiert, wie eine offline seite weiterleiten kann, respektive was der sonstige grund gewesen sein könnte, da es die seite ja offensichtlich nicht war…