Am vergangenen Samstag wurde für kurze Zeit die Homepage LeaseWeb’s gekapert. Wer zu diesem Zeitpunkt die Webseiten aufrief, bekam anstelle des Internetauftritts, eine Schmähseite (Defacement) der Hackergruppe „KDMS Team“ zu sehen, die sich über die lachsen Sicherheitsvorkehrungen LeaseWeb’s lustig machte.
Wenngleich der Vorfall sehr schnell entdeckt und behoben wurde, zeigt er einmal mehr, wie erschreckend einfach eine Domain-Entführung möglich ist; und auch dass eines der größten Hosting-Unternehmens der Welt nicht davor gefeit ist.
In einem Blog-Artikel bestätigte Leaseweb den Vorgang und gabe Details zum Angriff bekannt: DNS-Hijacking – in anderen Worten: Eine Manipulation der Domain-Einstellungen (DNS-Einträge). Bis zum Zeitpunkt der Entdeckung wurden sämtliche Anfragen inclusive eingehende E-Mails, auf andere Server umgeleitet. LeaseWeb versichert jedoch, dass „keine internen Systeme kompromittiert wurden“ und man „keine Anzeichen [gefunden habe], dass Kundendaten kompromittiert wurden“.
Wie funktioniert so ein DNS-Hijacking?
Die Angreifer verschaffen sich hierzu Zugriff auf die Domain-Konfiguration (DNS) einer Domain und ändern diese, sodass alle Anforderungen zu einer Domain umgeleitet werden – in der Regel auf einen anderen Server zu einer gefälschten Seite, die vom Angreifer angelegt wurde. Aus der Sicht des Betrachters scheint die Website kompromittiert zu sein, aber in Wirklichkeit wird der Inhalt von einem ganz anderen Server-System ausgeliefert.
Im Februar 2000 hat ein Angreifer die Seite von RSA Security gekapert, indem er einen DNS-Server kompromittiert hat, die nicht unter der Aufsicht von RSA stand. Indem er die DNS-Einträge manipuliert hat, konnte der Angreifer Requests auf eine gefälschte Website umleiten. Für die User schien es, als hätte sich der Angreifer den Zugriff auf die Daten der eigentlichen RSA-Website verschafft und diese manipuliert – ein ernst zu nehmendes Problem für ein Sicherheitsunternehmen. Diese Art von Hijacking lässt sich schwer unterbinden, weil Administratoren lediglich die eigenen DNS-Einträge steuern und keinerlei Kontrolle über die übergeordneten DNS-Server haben.
Was kann man dagegen tun?
Solche Angriffe sind in der Regel sehr selten. Auch hier gelten unsere Tipps der regelmäßigen Passwort-Änderung zu Ihrer Domain-Verwaltung. Die meisten Kompromtierungen einer Webseite finden über Sicherheitslücken auf dem Webserver selbst statt. Veraltete Content-Management-Systeme (oder Module daraus), schwache FTP-Zugangsdaten oder verwaiste Installationen nicht (mehr) benötigter Software dienen Hackern als Einfallstor.
- Zugangsdaten werden in der Regel mittels Keylogger / Trojaner ausgespäht oder durch simple BruteForce-Attacken durchprobiert. Installieren Sie eine professionelle Anti-Viren-Software und sichern Sie sich mit “starken Passwörtern” dagegen ab.
- Updaten Sie regelmäßig sämtliche Software auf Ihrem Webserver und deinstallieren Sie nicht (mehr) benötigte Dienste.
- Halten Sie auch Ihren Browser und seine Plugins aktuell. Unter www.check-my-browser.eu finden Sie einen Online-Check.
- Prüfen Sie Ihren Windows-PC regelmäßig mit einem Second-Opinion-Scanner, wie unsere DE/EU-Cleaner. Installieren Sie sich einen zusätzlichen Schutz, der Man-in-the-Browser-Attacken sichtbar macht.
- Registrieren Sie Ihre Domain bei einem Monitoring-Service, wie die Initiative-S! Im Ernstfalle erhalten Sie dort kompetente Hilfe bei der Bewältigung des Sicherheitsvorfalls.
Bleiben Sie auf dem Laufenden: Folgen Sie dem Autor & uns auf Twitter / Facebook.
