RSS
 

Servage hackat för search result hijacking

07 Jan

Search result hijacking kan närmast översättas till sökresultatskapning och innebär att när man klickar på en länk i till exempel Googles sökresultat kommer man inte till den valda sidan utan skickas vidare till en helt annan adress. Det kan vara en adress som försöker sälja Viagra, falska antivirusprogram eller som försöker installera virus på ens dator. Eftersom man endast skickas vidare om man kommer via en sökresultatsida och inte när man anger adressen till sajten manuellt kan det ta tid för ägaren av sajten att upptäcka att något är fel.

Oftast beror kapningen på att ett konto hackats och att en .htaccessfil lagts upp med kommando för att skicka besökare vidare.

De första fem raderna anger att om ett felmeddelande, till exempel för 404 för att angivna adressen inte existerar, ska visas så  ska servern skicka vidare besökaren till http://virtuta.ru/router/index.php. Raderna 6-11 anger att om referer (den sida besökaren senast kom från) innehåller google, ask, yahoo, linkedin eller flickr ska besökaren skickas vidare till adressen angiven på rad 12, http://virtuta.ru/router/index.php. Denna adressen skickar i sin tur vidare till http://villusoftreit.ru/in.cgi?3 som jag inte undersökt närmare men av adressen att döma gissar jag på att den försöker installera malware på besökarens dator.

Den senaste veckan har jag gått genom ett stort antal se-domäner för att se om de är drabbade av search result hijacking. Testet är väldigt enkelt. Jag hämtar sajtens förstasida två gånger, en gång där jag inte anger någon referer och en gång där jag anger google.com som referer. Sedan jämfört jag resultaten. För att snabba upp det hela kör jag kommandot HEAD istället för GET för att hämta sidan. HEAD innebär att servern ska göra exakt som vid en vanlig request, men låta bli att skicka ut själva sidan. Den informationen jag behöver finns i headerinformationen.

I bilden ovan hämtas förstasidan på www.afoco.se. Svaret från servern innehåller ”200 OK” vilket innebär att jag inte fick något felmeddelande och inte heller skickas vidare till någon annan adress. När jag anger http://www.google.com/?q=www.afoco.se som referer blir resultatet annorlunda.

Här får jag istället ”301 Moved Permantently” vilket betyder att adressen jag försöker nå inte är tillgänglig, istället ombeds jag istället hämta sidan som anges vid ”Location:”, i detta fall http://chimeboom.ru/in.cgi?17. Hade jag gjort besöket med en webbläsare hade jag automatiskt skickats vidare.

Av de se-domäner jag undersökte pekade www.domänen.se till ett IP-nummer i 629 817 fall. Av dessa var 149 (0,23 promille) domäner drabbade av search result hijacking. De webbhotell som hade flest kapade domäner är också de som har flest domännamn, One.com, Loopia och Binero.

Men ett företag stack ut från mängden, Servage.

För Servage hittades 30 domäner fördelade på två olika IP-nummer, 77.232.90.107 och 77.232.91.8. Ännu märkligare var att dessa 30 domäner skickade vidare till endast två olika adresser, http://chimeboom.ru/in.cgi?17 och http://zxsoftpromo.ru/in.cgi?5. Jag började undersöka domäner som inte är se-domäner och låg på samma servrar och fick mina misstankar bekräftade. Samtliga domännamn på dessa två IP-nummer är drabbade av search result hijacking. För andra webbhotell är det enskilda kunder som hackats men i det här fallet är det sannolikt att själva servrarna hos Servage hackats. Jag kontaktade Servages abuse omedelbart men har efter ett dygn ännu inte fått svar och problemet kvarstår.

De se-domäner som är drabbade är:
afoco.se
agenteyes.se
chokladgrottan.se
coach4me.se
crystaltrading.se
garnexpo.se
hallsbergstvatt.se
hemsidaprogram.se
ifkstockaryd.se
kommunikationskonst.se
lakritsgrottan.se
lovecyprus.se
martinaskowronska.se
mfwilma.se
mobil-shop.se
monashemochkok.se
negumbolew.se
peaceuniversity.se
perfectshop.se
pizzapicasso.se
ppbox.se
purecase.se
smallshoes.se
sykarsbrunn.se
tendera.se
twinani.se
vasbysmuscout.se
webbeditors.se
webeditors.se
wpthemes.se

Uppdatering 8 januari: Det har nu gått två dygn sen jag kontaktade Servage. På 77.232.91.8 har nu 9 av 14 sajter åtgärdats. För 77.232.90.107 är det värre, samtliga 16 är fortfarande hackade. För 6 sajter har hackers sedan igår uppdaterat så att man numera skickas till zippmonstersoft.ru.

 

Tags: , , , , , , , , , , ,

Lämna en kommentar