Wissen: Webseite als kompromittiert gemeldet? Wie geht man vor?

Sicherheit (Pexels, allgemeine Nutzung)[English]Wer eine Webseite betreibt, wird möglicherweise gelegentlich mit dem Problem konfrontiert, dass diese von Sicherheitsportalen oder Benutzern als "riskant" gemeldet wird. Dann stellt sich die Frage, wie man vorgehen könnte, um herauszufinden, ob dies ein Fehlalarm ist oder die Webseite kompromittiert wurde. Kürzlich wurde ich gebeten, eine solche Seite, die von Sicherheitstools als "schädlich" ausgewiesen wurde, anzusehen. Im Nachgang habe ich mir überlegt, das Ganze in anonymisierter Form kurz hier im Blog zu dokumentieren – vielleicht hilft es mal dem Einen oder Anderen weiter.


Anzeige

Es war eine E-Mail, die mich erst einmal stutzen ließ – denn die Absenderin war mir nicht bekannt. An der Signatur konnte ich aber schnell erkennen, dass es kein SPAM war, denn die Nachricht kam von einem Sekretariat eines deutschen Sportbunds und lautetet:

Panda Security sperrt ****-Portal

Hallo Herr Born,

keine Ahnung ob die Sperre berechtigt ist, aber seit Wochen wird diese Seite vom L*** gesperrt. Ist da was dran?

Normalerweise bin ich nicht in Bezug auf Consulting-Maßnahmen im Sicherheitsbereich aktiv. Da die Sportinitiativen aber oft ehrenamtlich getragen werden, habe ich beschlossen, einige Minuten zu opfern, und mir den Sachverhalt anzusehen.

Seite auf Black-List gelandet

Die Mail deutete bereits an, dass die Seite, um die es ging, auf der Black-List einer Sicherheitslösung gelandet ist und diese den Zugriff auf die Webseite auf den PCs der Surfer blockiert. Es wird dann vor der Webseite als schädlich gewarnt. Das kann zutreffend sein, wenn eine Webseite kompromittiert ist. Es kann auch ein falscher Alarm sein.

Solche falschen Alarme bekomme ich regelmäßig, wenn Nutzer mir berichten, dass in ihrer Sicherheitslösung vor borncity.com gewarnt würde. Waren bisher alles Fehlalarme – der krasseste Fall, warum der Blog hier schon mal auf einer Black-List landete: Ich hatte einen Phishing-Versuch in einem Beitrag dokumentiert und dort URL auf Phishing-Seiten mit angegeben. Die waren zwar durch Blanks in der URL nicht mehr als URL anwählbar. Aber die nicht funktionierende KI der betreffenden "Warn-Placebo-Seiten" interpretierten die Fragmente als Versuch, die Leser auf die Phishing-Seiten weiter zu leiten und ich wurde gesperrt. Ich konnte das dann mit einem Kontakt zu den Betreibern der Black-List klären und wurde wieder freigeschaltet.

Hinter den Kulissen laufen in den Blogs  hier auf borncity.com sowohl Virenscanner als auch Sicherheitslösungen mit, die eine Kompromittierung verhindern oder zumindest melden sollten. Zudem kann ich weitere Scans bei Verdachtsfällen anstoßen. Gelegentlich bekomme ich Meldungen, dass interne Dateien von Plugins modifiziert worden seien – die Code-Inspektion zeigt dann, dass oft die Versionen zwischen den WordPress-Repositories und dem Blog für einige Tage auseinander laufen – dann gibt es Fehlalarme. Bisher bin ich in den 15 Jahren, die die Blogs existieren, sauber durchs Blogger-Leben gekommen.

An dieser Stelle wäre die Frage: Wie gehst Du vor, wenn der Verdacht auf eine Infektion besteht. Im eigenen Blog würde ich sofort die internen Scanner und Tools befragen. Aber bei einer fremden Webseite, wie in obigem Fall, habe ich nicht diese Möglichkeit. Wie ich dann vorgehe bzw. in obigem Fall vorgegangen bin, möchte ich nachfolgend kurz beschreiben.

Befrage Virustotal

Um herauszufinden, ob eine Webseite als schädlich erkannt wird, verwende ich für einen ersten Test gerne das von Google betriebene virustotal.com. Auf der Webseite lässt sich die URL der zu untersuchenden Webseite auf der Registerkarte URL eingeben.

 virustotal.com

Als ich die URL der verdächtigen Webseite eingetippt habe (leider verfüge ich über keinen Screenshot mehr) wurde lediglich ein Treffer gemeldet. Panda war als Virenscanner nicht aufgeführt – und das Groß der Scanner hegte keine Bedenken bezüglich der Webseite.

 virustotal.com bemängelt Webseite


Anzeige

Die Seite von Virustotal lieferte den Hinweis, dass die Zielseite bereits im Februar 2019 aufgefallen sei – also vor drei Jahren. Und es gab die Info, dass die Sicherheitslösung von Sucuri SiteCheck die Seite als schädlich bemängelt.

Frage Sucuri SiteCheck

Den SiteCheck des Sicherheitsanbieters Sucuri nutze ich hier gelegentlich, um meine Webseite auf mögliche Infektionen zu untersuchen. Es lag also nahe, die URL der bemängelten Webseite direkt in Sucuri SiteCheck einzutragen und eine Prüfung durchführen zu lassen.

Sucuri SiteCheck

Diese Prüfung ist kostenlos und liefert i.d.R. eine detailliertere Analyse, was los ist. Als ich das Ergebnis der geprüften Seite sah, fiel mir das Herz in die Hose.

Ergebnis des Sucuri SiteChecks

Es wurden gleich mehrere Malware-Funde unter diversen URLs gemeldet. Ein Blick auf die Links zu den Funden zeigte mir aber, dass es nicht wirklich Malware-Funde waren. Vielmehr behauptete der Scanner von Sucuri versteckten SEO-Spam gefunden zu haben, der "bekannt aber schädlich" sei.

Unter SEO-Spam werden Einträge (oft in Kommentaren von Blogs) bezeichnet, die nur ein Ziel haben: Die Webseite des Spammers oder dessen Auftraggeber in Suchmaschinen hoch zu pushen. Oder unbedarfte Nutzer sollen beim Besuch der Webseite zu diesen Zielseiten geleitet werden. Habe ich hier im Blog täglich zu hunderten – wobei meine SPAM-Filter das bisher verlässlich herausfiltern. In obigem Ergebnis heißt es noch, dass das der SEO SPAM "hidden" sei – die Verlinkung wird also vor dem menschlichen Leser versteckt – er soll nur von Suchmaschinen gefunden werden.

An dieser Stelle habe ich mir im Browser den Quellcode angesehen und mal versuchsweise nach "porno" gesucht. Prompt wurde ich fündig, denn im Quellcode waren versteckte Links untergebracht.

Quellcode

Obiger Auszug aus dem Quellcode zeigt den Link auf Porno-Seiten, wobei dieser Link über eine CSS-Anweisung um -5.000 Pixel aus dem Anzeigebereich heraus positioniert wurde. Ein Seitenbesucher bekam diesen Link also nie zu sehen. Der Link ist aber für Suchmaschinen oder Bots oder auch die Virenscanner sichtbar. Das war der endgültige Beweis, dass die Seite kompromittiert war. Die Sperre ist also mehr als berechtigt!

Sucuri meldete noch, dass der verwendete Apache-Server nicht aktuell war (unterhalb Version 2.4.44) und PHP ist ebenfalls veraltet (Version war unter 7.2.31). Also der typische Fall, wo ein Portal mit Typo3 aufgesetzt und wohl nicht mehr gepflegt worden war. Die Infektion des Quellcodes mit den Porno-Links dürfte über Schwachstellen erfolgt sein – und das erklärt auch, warum die ersten Funde (laut VirusTotal) bereits am 2018 gemeldet wurden, die letzte Meldung erfolgte am 15.11.2021. Da lag schon länger was im Argen. An dieser Stelle habe ich dann mein "Analyse-Besteck" eingepackt und die Kontaktperson über das Ergebnis informiert – verbunden mit der Bitte, die Seite offline zu nehmen, durch einen Fachmann auf den aktuellen Stand bringen und von Malware bereinigen zu lassen.

Vielleicht helfen die obigen Erklärungen dem einen oder anderen Leser bzw. Leserin, falls bei deren Webseite ein ähnlicher Verdacht aufkommt, bei den ersten Gehversuchen.

PS: Ich habe beim Schreiben des Beitrags die Webseite nochmals inspiziert. Die ist inzwischen wohl gesäubert, obwohl der Sucuri-Check noch "Funde" meldet (ein Re-Scan zum Clean-Up hilft nicht – ein Remove von der Black-List ist nur nach einer Anmeldung bei Sucuri möglich). Eine Prüfung auf diese Funde ergab dann, dass die bemängelten URLs unter dieser Domain nicht mehr existieren. Sucuri scheint bei einer Prüfung auf ältere Datenbankeinträge zuzugreifen – obwohl da ein Real Time-Check vorgegaukelt wird. Das bitte im Hinterkopf behalten.

Ergänzung: Ich habe aber mal im Nachgang eine Suche nach den obigen URLs im Web durchgeführt. Es gibt eine Reihe weiterer deutscher Webseiten, die ebenfalls diesen SEO-SPAM aufweisen und auf Black-Lists gelandet sein dürften.

Ähnliche Artikel:
WordPress: Angriff per Redirect Hack
Achtung Spam: Phishing/Missbrauch per Blog-Kommentar
Nachgang zu 'WordPress-Plugin generiert Spam' – deutsche Webseiten betroffen und referenzieren Escort-Dienste


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Internet, Sicherheit abgelegt und mit Internet, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

18 Antworten zu Wissen: Webseite als kompromittiert gemeldet? Wie geht man vor?

  1. Dorian sagt:

    Beim Sucuri-Check kann man in der Regel unten auf der Seite auch "Force a Re-scan to clear the cache." anklicken, wenn vermeintlich ältere Inhalte gezeigt werden.

    Die besagte Seite ist anhand der hier gezeigten Screenshots per Google auffindbar und befindet sich derzeit bei Sucuri Labs allerdings auf einer "Domain Blacklist", daher nutzt ein Re-scan in diesem Fall nichts.

    Die Seite läuft auch heute weiter mit PHP 7.2.24 vom Oktober 2019 und einem Typo3 7.6 mit seit 27.11.2018 abgelaufenem free Support und kaufbarem ELTS bis nur noch 30.11.2022.

    Es ist daher zu hoffen, dass die Seite inzwischen wirklich bereinigt und die genutzten Lücken ermittelt und abgesichert wurden bzw. man sich um eine ernsthafte Betreuung bemüht.

    • Günter Born sagt:

      Zu "Force a Re-scan to clear the cache.": Ich habe es jetzt im Abstand von mehreren Tagen mit dieser Option versucht – die hilft nicht. Oder ich mache was falsch. Aber alle bemängelten URLs, die ich manuell im Quellcode überprüft habe, sind sauber. Von daher wurde was bereinigt.

      Aber: Ein Scan mit anderen Anbietern hat ergeben, dass der Webauftritt Schwachstellen (durch veraltete Komponenten) aufweist. Ich werde die Leute nochmals über meinen Kontakt darauf hinweisen.

      • Dorian sagt:

        Ist eigentlich bereits im Kommentar erklärt:

        > .. befindet sich derzeit bei Sucuri Labs allerdings auf einer "Domain Blacklist", daher nutzt ein Re-scan in diesem Fall nichts.

        Steht prominent über der Ergebnisliste "Site is Blacklisted by Sucuri Labs", bei jeder URL "Blacklisted Page Detected", unten rechts bei "Website Blacklist Status" nochmal "Domain blacklisted by Sucuri Labs: […]"

        Blacklist ist Blacklist, da ist der Scan egal. Die Verantwortlichen müssten sich darum kümmen, von der Blacklist genommen zu werden.

  2. Christian Krause sagt:

    Toller artikel

  3. Markus Köln sagt:

    Ebenfalls danke!

  4. Singlethreaded sagt:

    Wenn die Scan Ergebnisse von Virustotal schon sehr alt sind, dann kann man oben einfach über einen Button einen "Rescan" anstoßen. Gerade bei Webseiten URLs würde ich das immer empfehlen, da sich die Lage hier schnell verändern kann.

    Gruß Singlethreaded

  5. Baki sagt:

    Danke für die Tipps. Witzig: Nach meiner Recherche ist der mir bislang unbekannte Dienst "Sucuri" dem Big Player "GoDaddy" zugehörig. Die Mehrzahl aller Phishing- und Malwareseiten, die ich kenne, hosten bei GoDaddy :)

  6. A. Nonym sagt:

    Danke, guter Beitrag.

    Ich habe gerade sowohl virutotal und securi mit Malware von heute getestet: Das Ergebnis war "sehr ernüchtern", es dauert wohl meistens mehrere Tage, bis AV und diese Web-Scanner etwas erkennen.

  7. Olli sagt:

    Also wenn "nur" ein Scanner von VirusTotal etwas findet, aber wirklich etwas vorhanden ist, habe ich dazu zwei Gedanken:

    Dann sind alle anderen Scanner offenbar blind bzw. schlecht, oder dieser eine Scanner überreagiert bei etwas, dass alle anderen noch als unkritisch bewerten.

    Damit ist dann VirusTotal eigentlich schon wertlos, denn mehr als diesen einen Blick auf die Seite werden die meisten Nutzer kaum machen.

    Ich hab da auch so einen Fall. Praktisch jedes Release des Dell Display Managers wird auf VirusTotal von ein oder zwei Scannern angemahnt, alle andere sagen die .exe ist sauber. Da sage ich dann auch: Vermutlich setzen tausende oder hunderttausende Nutzer den DDM ein – wenn das Ding kompromittiert wäre, hätte das wohl längst eine Pressemeldung nach sich gezogen – was also ist da mit manchen Virenscannern los? Denn selbst wenn ich die .exe einige Wochen oder Monate liegen lasse, melden die gleichen Scannern beim Re-Scan die gleichen Befunde – es räumt also wohl auch Niemand die False Positives auf – und es werden wohl ziemlich sicher False Positives sein – anderenfalls hat Dell da seit Jahren ein ziemlich fettes Problem!

    • Singlethreaded sagt:

      Virustotal ist eine Hilfestellung und ein gutes Tool, richtet sich aber an Personen aus dem Security-Umfeld und setzt entsprechende Kenntnisse bei der Interpretation voraus. Normale Anwender sind damit aus meiner Sicht schnell überfordert, oder wiegen sich in falscher Sicherheit.

      1. Neue Dateien in der Analyse:

      Ich habe über den Mail-Server auf Arbeit täglich Zugang zu neuen Malware-Samples, welche dort gefiltert wurden. Nehmen wir als Bespiel eine "Rechnung.zip" in welcher die Datei Rechnung.pdf.exe enthalten ist.
      Lade ich solch eine Datei zeitnah bei Virustotal hoch, so schlagen im besten Fall 1-2 der Virenscanner an. Häufig gar keine.
      Die Erkennung ist bei neuen Dateien mehr als schlecht. Nach meiner Erfahrung dauert es mindestes eine Woche bis die Hälfte der Virenscanner darauf reagiert.

      Hinweis: Virustotal scannt nur die Datei, es findet kein Ausführen oder Öffnen der Datei mit jedem Virenscanner in einer Analyseumgebung statt. Alle modernen Verfahren wie z.B. eine Verhaltenserkennung finden nicht statt. Es mag also sein, dass eines der Produkte die Datei nach einem Start trotzdem "einfangen" würde, aber das möchte wohl niemand außerhalb eines Labs wirklich ausprobieren. Zwar können mit bestimmen Tools auch Analysen aus einer Sandbox an Virustotal durchgereicht werden, aber das passiert nicht einfach so automatisch beim Hochladen.

      2. False-Positives:

      Gibt es reichlich und immer wieder. Wer ein Windows-System zur Verfügung hat, kann aus Spaß mal die Anwendung "Autoruns64" aus der Microsoft Sysinternals Suite starten. Dort unter „Options" -> „Scan Options" die Option „Check Virustotal.com" aktivieren. In der Folge werden die Hashwerte alle im Autostart befindlichen Dateien gegen Virustotal geprüft und das Ergebnis angezeigt.

      Mein System ist völlig verseucht. 11(!) Einträge werden gemeldet, welche laut Virustotal mit Malware versucht sind. In 10 Fällen meldet nur ein Virenscanner, in einem Fall sind es zwei, darunter:
      Der Preload von Keepass2:
      https://www.virustotal.com/gui/file-analysis/ZTFjZTI4MTYyNzQ5ODk2YTExZTY2NTg0YmExNTk2OGY6MTY2MDkwMjk4Mg==
      Der NetPhone Client der Deutschen Telekom:
      https://www.virustotal.com/gui/file-analysis/YzM0NTQ2YTMxMGIzMTg5NzhiYjUwOWM1NDFhZDMxMDM6MTY2MDkwMzA2OQ==
      Die Zahlungserinnerung der Banking Software Windata:
      https://www.virustotal.com/gui/file-analysis/YjcyZTNjMWQxMzM2YzUzZDc5YTk5MzBmMTYwZjBlZjI6MTY2MDkwMzU5OQ==

      Das ist natürlich falsch, zeigt aber sehr gut das Problem mit den „False-Positives".
      Wer jetzt glaubt, dass sich dies ändert, der irrt. Diese Fehler werden von der Herstellern der AV-Programme praktisch nie aufgeräumt. Bestes Beispiel ist ein Treiber meines Fujitsu ScanSnap S1300i Dokumentenscanners. Das Ding rennt seit Jahren ohne Probleme, nur gibt es keine wirkliche Entwicklung der Software mehr. Der Treiber ist von 2016 und wird schon immer von einem Scanner als Malware klassifiziert. Da ich den Virenscanner „SecureAge APEX" auf meinen System nicht verwende, stört mich dies auch nicht weiter und habe keinen Anlass den Hersteller zu einer Korrektur zu bewegen.
      Hinweis: Mit dem Process-Explorer aus Sysinternals ist dies auch für alle laufenden Prozesse möglich.

      3. Time-Outs
      Es gibt bei Virustotal einen Timeout für den Scan von 1-2 Minuten. Ist der Virenscanner bis dahin nicht fertig wird er abgewürgt. Im Ergebnis steht dann Timeout. In Zeiten hoher Last kann es passieren das nicht alle Virenscanner fertig werden und etwas durchrutscht. Dann besser nochmals durchlaufen lassen.

      4. DSGVO
      Daten die man bei Virustotal.com hochlädt landen in den USA und sind gemäß den Nutzungsbedingungen allen(!) Teilnehmern der Community für Untersuchungen zugänglich!!!
      Ergo:
      Ganz vorsichtig bei Dokumenten wie Bewerbungsunterlagen oder Ähnlichem. Ist die Datei kein Virus, sondern eine legitime Bewerbung, dann hat man mit dem Upload einen DSGVO Verstoß begangen!
      In solchen Fällen: SHA-256 Hash der Datei errechnen und den Hash als Abfrage an Virustotal senden. Ist der Hash dort schon bekannt, so kann man die Datei fast immer gleich löschen, da jemand anderes dies auch schon erhalten hat. Im Falle einer Bewerbung ehr unwahrscheinlich.

      Gruß Singlethreaded

      • Karo sagt:

        Zu deinem Abschnitt DSGVO:
        Du liegst nur zum Teil richtig, da du offensichtlich nicht genau weißt, wie Virustotal funktioniert und welche Funktionen Virustotal für registrierte und zahlende Member bietet. Kurz: Hochgeladene Daten landen nicht nur in den USA sondern in der ganzen Welt, darunter auch Russland und China.

        • Singlethreaded sagt:

          Das habe ich doch geschrieben:

          " … und sind gemäß den Nutzungsbedingungen allen(!) Teilnehmern der Community für Untersuchungen zugänglich!!!"

          Folglich können diese aus aller Welt kommen.

      • A. Nonym sagt:

        Nur so aus Interesse:

        Nutzt Du 'oledump.py' und 'zipdump.py' für eine detailierte Anaylse?

        • Singlethreaded sagt:

          Nein in der Regel nicht. Auf der Arbeit ist für eine detaillierte Analyse jedes Samples keine Zeit. Am Punkt "das ist nix Gutes" ist Schluss. Die Datei wird entfernt und damit ist es in 99.9% der Fälle auch gut.

          Klar ist das Verstehen was z.B. ein VBA Makro so anstellt spannend, aber als IT haben wir dafür nicht die Kapazitäten. Es gibt andere Dinge wie das Abdichten von Systemen, in welche unsere Zeit besser angelegt sind.

          Etwas anderes ist es, wenn man privat im Lab mal ein bisschen Zeit hat. Dann macht es durchaus Spaß solche Dateien in einer sicheren Umgebung zu sezieren.

          Gruß Singlethreaded

  8. Adrian W. sagt:

    Wenn ich lese "…das von Google betriebene virustotal.com." dann läuten bei mir sämtliche Alarmglocken, insbesonders wenn darüber Files (Word, PDF, usw.) geprüft werden.
    Hat nicht mal das BSI ausdrücklich davor gewarnt "Datenabfluss durch Dateiprüfungen bei VirusTotal".

    Und auch bei diesem Thema wären doch dann wieder beim Beitrag
    "Wissen: Google Fonts auf Webseiten, Abmahnung, Prüfung-Fallen"
    https://www.borncity.com/blog/2022/08/17/wissen-google-fonts-auf-webseiten-abmahnung-prfung-fallen/

    angelangt, der Kreislauf mit Verantwortung und regelmässiger Prüfung usw. schliesst sich.

    • René H. sagt:

      virustotal warnt ja sogar selbst:

      By submitting data above, you are agreeing to our Terms of Service and Privacy Policy, and to the sharing of your Sample submission with the security community. Please do not submit any personal information; VirusTotal is not responsible for the contents of your submission. Learn more.

      Aber tatsächlich haben vor einiger Zeit mehrere darauf hingewiesen, weil vielen diesen Hinweis von virustotal selbst ignorieren und offenbar private Daten dann bei anderen Leuten auftauchen.

  9. IngoHu sagt:

    Da mittlerweile die meisten Webseitenersteller-Agenturen selbst bei Seiten mit seltenen Änderungen auf CMS wie WordPress, Joola & Co. setzen, die niemand pflegen wird, sind solche Fälle sicher zahlreicher. Die Webseitenbetreiber sind sich der Probleme nicht bewusst, die sich aus Software die auf Webservern läuft entstehen.

    Ich konnte dem Drama lauschen, als ein befreundeter Kleinunternehmer nach und nach Besuch von verschiedenen Agenturen bekam. Selbst die Anbieter, die Wartungsverträge anboten, konnten auf gezielte Nachfrage nicht schlüssig darlegen, wie deren Sicherheitskonzept aussieht. Also wie erkennen sie dringende Updates (z.B. Lücken mit CVS-Eintrag)? Wie ist es bei regulären Bugfix-Updates oder Point-Updates bzw. neuere Releases geregelt? Wie kurz sind die garantierten Reaktionszeiten? Als Antwort kam nur heiße Luft. Die Website des Kleinunternehmers wurde schließlich mit dem Sitegenerator Hugo realisiert, so dass der Betreiber auch Updates wie geänderte Öffnungszeiten, aktuelle Angebote usw. erstellen kann und nach dem Bau der Site per SFTP hochlädt.

    • Gerd F. sagt:

      > Als Antwort kam nur heiße Luft.

      Ist sehr ähnlich wenn man z.B. die "Managed WordPress" Tarife von Massenhoster bis Kleinanbieter hinterfragt. Bei so einigen bestehen die dort vorhandenen anhand im Gespräch herauskristalisierten Möglichkeiten einer akuten Problembehebung aus maximal dem Einspielen eines älteren Backups und fertig. :-/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.