Hinterlistige Hacker-Angriffe auf .htaccess-Dateien

Die Bösewichte hinter der „Antvirus 2008/2009 Malware“ haben eine sehr hinterlistige Taktik eingesetzt, um Besucher auf ihre gefälschten Webseiten umzuleiten. Die Angreifer nutzen die RewriteEngine des Apache Web Servers aus. Diese Funktion lässt sich mittels der Datei .htaccess aktivieren und steuern. Im Regelfall liegt diese Datei im ersten Verzeichnis des Webservers und lässt sich auf einfache Weise mit zum Beispiel gestohlenen FTP-Zugängen manipulieren.

Die bösartigen Hacker schrieben die .htaccess-Datei sehr kreativ um. Hat ein Anwender den entsprechenden Internetauftritt direkt besucht, funktioniert alles wie immer. Kommt der Besucher allerdings von einer Suchmaschine, leitet die RewriteEngine diesen auf gefälschte Seiten um. Dazu lesen die Black-Hacker lediglich den HTTP_REFERER aus und weisen dies in der Datei .htaccess entsprechend an. Weitere Informationen und ein Beispiel einer gehackten .htaccess-Datei finden Sie bei SANS. So sollte Ihre .htaccess-Datei nicht aussehen. (jdo)