Die Webseite wurde kompromittiert
-
Die Seite wurde komprimitiert. Wie kann ich den beschriebenen Fehler finden und beheben?
Nachricht siehe unten:
Von: Bayern-CERT (Incident) <(E-Mail nur für Moderatoren und Mitarbeiter sichtbar)>
Gesendet: Freitag, 5. Juli 2024 11:09
An: (E-Mail nur für Moderatoren und Mitarbeiter sichtbar)
Betreff: Re: [LSI#2024070520000388] Hinweis auf die vermutlich kompromittierte Webseite des DAV ihrer SektionSehr geehrte Damen und Herren,
das Landesamt für Sicherheit in der Informationstechnik ist u.a. für den Schutz des bayerischen Behördennetz zuständig.
Bei der Erfüllung dieser Aufgabe konnte bei der Bearbeitung eines IT-Sicherheitsvorfalls im eigenen Zuständigkeitsbereich beiläufig eine vermutliche Kompromittierung ihrer Webseite alpenverein-dinkelsbuehl[.]de und potsdamer-huette[.]de festgestellt werden.Sachverhalt:
– Die Webseite wurde kompromittiert und liefert unter gewissen Voraussetzungen eine Weiterleitung zu maliziösen Webseiten
– Die Weiterleitungen ordnen wir dem Traffic-Distribution-System VexTrio zu: https://blogs.infoblox.com/threat-intelligence/cybercrime-central-vextrio-operates-massive-criminal-affiliate-program/Bewertung:
Bei VexTrio handelt es sich um ein Traffic-Distribution-System, was bedeutet die Webseite wurde mit einem Schadcode kompromittiert, welcher das Verteilsystem von VexTrio verwendet um z.B. auf Betrugs- oder Malware-Seiten weiterzuleiten. Die Weiterleitungen unterscheiden sich und werden vom VexTrio-Netzwerk entschieden. (vgl. erstes Schaubild im oben verlinkten Artikel von infoblox.com)Genaue Informationen zum Nachstellen der Kompromittierung:
1. Google-Suche nach dem Namen ihrer Domain (VexTrio setzt nach unserer Prüfung den Referer von Google voraus um ausgeführt zu werden)
2. Ergebnis zu Ihrer Seite anklicken
3. Innerhalb ihrer Webseite irgendwo klicken
4. neue Tabs öffnen sich mit unseriösen, potenziell schadhaften WebseitenZu beachten gilt, dass beim erstmaligen Aufrufen im Lokalen Speicher ein „testValue“ gespeichert wird. Dadurch erfolgt die Weiterleitung nur beim ersten mal, da VexTrio zunächst prüft, ob dieser testValue bereits gesetzt ist und nur bei nicht Vorhandensein ausgeführt wird. Deshalb wird Empfohlen diesen Test im Privaten Tab durchzuführen.
Zwei Beispielbilder sind im Screenshot „variante.png“ zu sehen. Es handelt sich um den Quelltext von der Webseite. Die Domains können sich von Website zu Website unterscheiden.
Maßnahmen:
– Die Webseite muss überprüft und die schadhaften Inhalte entfernt werden
– Ursächlich können z.B. WordPress-Plugins mit Schwachstellen sein oder eine veraltete WordPress-Version
– eine Kompromittierung kann auch bereits vor längerer Zeit stattgefunden haben, sodass die Plugins/WordPress-Version inzwischen keine Schwachstellen mehr aufweisen, der schadhafte Code aber nach dem Update weiterhin auf der Webseite vorhanden geblieben istBitte beachten Sie, dass wir bei der Bearbeitung des Sicherheitsvorfalls in unserer Zuständigkeit ausschließlich die oben genannte
URL geprüft haben und somit keine Aussage über eine Kompromittierung weiterer Unterseiten geben können.Wir empfehlen Ihnen den Sachverhalt, ggf. mit Ihrem IT-Dienstleister, zu prüfen.
Des Weiteren können Sie Strafanzeige zu erstatten.
Hierfür können Sie sich an die Zentrale Ansprechstelle Cybercrime des Bayerischen Landeskriminalamtes https://www.polizei.bayern.de/kriminalitaet/internetkriminalitaet/002479/index.html oder an Ihre örtliche Polizeiinspektion wenden.Mit freundlichen Grüßen
Ihr LSI
____________________________________________________
Landesamt für Sicherheit in der Informationstechnik
Keßlerstraße 1
90489 Nürnberg -
-
-
Hallo, deine URL wird bei IONOS gehostet, die sind dein Ansprechpartner.
Du bist als Selbsthoster daher hier im falschen Forum, bitte lesen:
https://wordpress.com/de/forums/topic/hier-keine-selbstgehosteten-blogs/
- Das Thema ‘Die Webseite wurde kompromittiert’ ist für neue Antworten geschlossen.
de.WordPress.com Forums 