Heute Nachmittag ist für manche Webseitenbetreiber etwas passiert, dass eher ungemütlich ist und zwar war ihre Webseite auf einmal nicht mehr erreichbar. Für viele bedeutete dies dann aber man früher ins Wochenende gehen durfte und für andere das Gegenteil.

Ich selbst habe nur gemerkt, dass das Ostschweizer News-Radio-TV-Portal www.fm1today.ch eben nicht mehr ging. Innerhalb weniger Minuten habe ich dann die Meldung erhalten, dass noch mehr Webseiten betroffen waren – zuerst alles nur Domains des NZZ Konzerns. Natürlich wollte ich dann auch schauen gehen was da los ist – also habe ich mal kurz die FM1Today Domain aufgerufen und da sah ich, dass folgende URL angezeigt worden ist.

Und nach dieser lustigen IP/URL wurde man dann auf google.com weitergeleitet.

In diesem Moment wusste ich dann, dass es eigentlich 2 Gründe haben kann. Entweder hat jemand eine komische Weiterleitung ins Portal reingeschmuggelt (also das Portal gehackt) – oder es war ein gröberer DNS Fehler. Ich tippte auf die 2. Möglichkeit, denn ich konnte zwar ein Hack nicht ausschliessen aber ich habe auch nicht den NS Server der Domain gecheckt – da ich mit dem Handy unterwegs war. Aber diese komische Weiterleitung war ein starkes Indiz, dass hier jemand etwas versucht zu verbergen (Darum sind Short URL’s so gefährlich).

Ein paar Stunden später habe ich dann ein funkelnagelneuen Blogbeitrag vom der CH Domain Vergabestelle gelesen, dass 94 Domains aus CH und LI betroffen waren.

Für viele Webseitenbesucher war diese umgeleitete Domain nur ärgerlich, aber für andere auch höchst gefährlich, denn während die Domain umgeleitet worden ist, gab es Fälle wo Besucher böswillig infiziert worden sind und zwar mit einem „Rig Exploit Kit“. Der Rig Exploit Kit ist mir vor ein paar Jahren das erste Mal aufgefallen aber auch heutzutage noch höchst aktiv – immerhin kann man seit Monate fast täglich in der Presse von Hacks lesen, wo die Festplatte durch Ransomeware verschlüsselt werden und erst nach der Bezahlung von Bitcoins wieder freigegeben wird.

Ich hoffe also in diesem Fall dass es keine oder nur wenige Besucher dieser Webseiten gibt, die jetzt durch so ein Erpressungsversuch beglückt werden.

Das ist jetzt ein wirklich spannender Fall.

Mehr Info zum Rig Exploit Kit auf heise.de
Mehr Info von: Security Blogbeitrag von switch.ch







Über

Eric-Oliver Mächler

Seit 2005 bin ich ein aktiver Blogger. Ich kenne die Kniffe und die Tricks um einen Blog erfolgreich zu machen. Hier gebe ich diese kleinen Tricks gerne weiter und freue mich, wenn ich euch helfen kann. Hier erfährt man mehr über mich.

Hinterlass einen Kommentar