Web-Angriffe

Website-Manipulation per Remote File Inclusion

Um Internet-Nutzern Malware wie etwa Scareware unterzuschieben, dringen Online-Kriminelle oft in legitime Websites ein und manipulieren deren Inhalte. Im Gegensatz zu SQL-Injection und Cross-Site Scripting (XSS) ist die Angriffsmethode Remote File Inclusion wenig bekannt.

Die Manipulation fremder Websites ist für Online-Kriminelle besonders attraktiv, weil sie keine Domain registrieren und keine eigene Website aufbauen müssen. Außerdem profitieren sie vom Suchmaschinen-Ranking der Website und vor allem von deren guten Ruf als (bislang) harmloser Web-Auftritt. Die Angreifer nutzen neben den bekannteren Methoden SQL-Injection und Cross-Site Scripting (XSS) auch Remote File Inclusion (RFI) – insbesondere gegen PHP-Sites.

Die Server-seitige Script-Sprache PHP ist besonders in Deutschland recht beliebt. Zahlreiche Web-Anwendungen vom schlichten Gästebuch bis zum komplexen Shop-System werden mittels PHP erstellt. Doch in PHP stecken auch viele Sicherheitslücken, vor allem bei schlecht gepflegten Installationen, die nicht regelmäßig die neuesten Updates erhalten. Wie das Sicherheitsunternehmen Imperva berichtet, nutzen Angreifer dies, um gängige Schutzmechanismen zu unterlaufen, die vor allem SQL-Injection und XSS-Angriffe abwehren sollen.

USA führend: RFI-Angriffe nach Herkunft.
USA führend: RFI-Angriffe nach Herkunft.
Foto:

In vielen PHP-Anwendungen werden Dateien eingebunden, die auf einem anderen Server liegen – das wird als Remote File Inclusion bezeichnet. PHP-Anwendungen überprüfen Benutzereingaben oft nicht sorgfältig genug auf schädlichen Code. Dadurch können Angreifer die Aufrufe externer Dateien auf ihre eigenen Server umlenken und so die Web-Seiten manipulieren. Sie können zum Beispiel Links zu Malware-Seiten einfügen oder Formulardaten abgreifen. Einige der RFI-Angriffe dienen auch dazu die Kontrolle über den angegriffenen Server zu übernehmen.

Nach Angaben von Imperva haben RFI-Angriffe zwischen Dezember 2010 und März 2011 nur einen relativ geringen Anteil an den beobachteten Angriffen. Doch sie treten dann gerne in kurzer Zeit sehr konzentriert auf, was auf die Verwendung automatisierter Angriffsbaukästen hinweist. Diese Toolkits machen es auch Neulingen vergleichsweise einfach ans Ziel zu kommen. Die überwiegende Zahl der Angriffe kommt aus den USA (65 Prozent), Deutschland liegt mit zwei Prozent auf Platz sechs, gleichauf mit Südkorea.

Imperva empfiehlt als Schutzmaßnahme den Einsatz moderner Web Application Firewalls (WAF), die auch mit dieser Art von Angriffen umgehen können. Die Beobachtung derartiger Angriffe ermöglicht es den WAF-Herstellern aktuelle Sperrlisten bekannter Script-URLs einzupflegen. (PC-Welt/cvi)