Gefälschte Scannerseite in einem PHP-Quellcode
Ein Fenster in Ihrem Internetbrowser, das behauptet, Ihren Computer auf Viren zu prüfen, ist höchstwahrscheinlich ein gefälschter Scanner, der versucht, Ihren Computer zu infizieren. Diese gefälschten Scanner sind nicht in der PHP-Skriptsprache geschrieben, aber PHP-Code auf einem Server könnte Zeilen enthalten, die einen Besucher zum gefälschten Scanner führen. Unabhängig davon, ob ein Hacker die Server Ihres kleinen Unternehmens mit gefälschtem Scannercode infiziert hat oder Sie bei der Arbeit an einem Computer Ihres Unternehmens auf einen solchen stoßen, Sie müssen vorsichtig und schnell damit umgehen.
PHP-Funktion
PHP-Code wird im Gegensatz zu HTML nicht im Browser des Clients ausgeführt. Es handelt sich vielmehr um eine Programmiersprache, die vollständig auf dem Server der Website ausgeführt wird. Der Server wiederum überträgt die Ergebnisse der Ausführung des PHP-Skripts an den Browser des Endbenutzers. Da PHP auf der Serverseite ausgeführt wird, ist es für Malware-Autoren schwierig, PHP-Code zu erstellen, der den Computer eines Endbenutzers direkt gefährden kann. PHP-Code kann Benutzer jedoch zu Webseiten mit Code in Sprachen umleiten, die direkt auf den Computer des Endbenutzers zugreifen können.
Die Umleitungsseite
Wenn eine Site Sie auf eine gefälschte Scannerseite weiterleitet, hat dies zwei Gründe: Sie ist entweder eine Site, die absichtlich versucht, ihre Benutzer durch Malware zu infizieren, indem sie Weiterleitungen in den Quellcode ihrer Seiten einfügt, oder die Site ist gesunken Opfer eines Hackers. Für Malware-Autoren ist es schwierig, direkten Zugriff auf die Dateien einer Website zu erhalten. Es ist daher üblich, dass sie die Website indirekt durch Cross-Site-Scripting-Angriffe angreifen. Bei diesen Angriffen hosten Hacker Programme auf Servern, die andere Websites auf verschiedene Sicherheitslücken untersuchen. Wenn das Programm eine solche Sicherheitsanfälligkeit feststellt, nutzt die Software diese zum Auslösen von schädlichem Code in den Server. Bei gefälschten Scannern handelt es sich bei diesem Schadcode um eine Weiterleitung oder ein Popup, die zu der Website führt, auf der der gefälschte Scanner gehostet wird.
Umgang mit der Infektion
Wenn ein Websitebesitzer herausfindet, dass ein Malware-Schreiber die Sicherheit seines Servers gefährdet hat, besteht der zuverlässigste Weg, um sicherzustellen, dass er den bösartigen Code entfernt, darin, den Server herunterzufahren und ihn bei einem früheren Backup wiederherzustellen, von dem er weiß, dass er frei von Malware ist. Dadurch wird jedoch nur die aktuelle Infektion behoben. Die Sicherheitsanfälligkeit, durch die ein Malware-Writer PHP-Weiterleitungscode in den Server einschleusen konnte, ist weiterhin offen. Um diese Lücken zu schließen, müssen Sie zunächst sicherstellen, dass sowohl das Betriebssystem des Servers als auch das Content-Management-System vollständig gepatcht sind. Danach müssen die Webentwickler den von ihnen produzierten Code durchgehen, um sicherzustellen, dass keine Sicherheitslücken in die Website eingehen. Dies kann das Nichtverifizieren der Eingabe aus Webseitentextfeldern oder das Ermöglichen, dass der Server Anforderungen für Ressourcendateien versucht und erfüllt, ohne vorher zu prüfen, ob die Datei vorhanden ist.
Umgang mit dem Scanner
Wenn Sie einen gefälschten Scanner sehen, klicken Sie auf keinen Teil des Scanner-Popup-Fensters, einschließlich der Schaltfläche "Schließen". Nur weil eine Schaltfläche in der Oberfläche des gefälschten Scanners "close" sagt, bedeutet dies nicht, dass der Klick nicht dazu verwendet wird, um Berechtigungen zum Starten eines Angriffs auf Ihr System zu erhalten. Der sicherste Weg, um einen gefälschten Scanner zu verlassen, ohne eine Infektion zu riskieren, besteht darin, Ihren Browser ganz zu beenden und ihn dann erneut zu starten.