Hallo,
also Sie sprechen hier von Größenordnungen die definitiv nicht wahr sind.
ich möchte darum nun noch einmal dazu Stellung nehmen.
----------------------------------------------------------------------------------
Sehr geehrte Damen und Herren,
ich möchte diese Gelegenheit nocheinmal nutzen Ihnen genau zu erklären
was sich in der letzten Woche zugetragen hat. All dies kann ich Ihnen
ohne weiteres anhand von logfiles oder ähnlichen Dingen nachweisen.
Ich bin überdies auch gern bereit Ihnen einen Einblick in die Serverstatistiken
zu gewähren.
Wie Sie wahrscheinlich gelesen haben arbeite ich zur Zeit unter anderem an einem
Suchmaschinen Spider.
Ersteinmal möchte Ich Ihnen erklären welches Konzept hinter diesem Spider steckt.
Da das Entwickeln eines eigenen Bewertungsmechanismus für Webseiten durch einen Spider
(ähnlich wie der von Google) weit über unsere Grenzen hinaus geht haben wir einen
Weg gesucht trotz alledem ein qualitativ hochwertiges Angebot zur Verfügung stellen
zu können. Hier kam uns nun die Idee anhand einer Keywordliste verschiedene Suchmaschine
abzufragen und die so erhaltenen Seiten aus allen Suchmaschinen miteinder zu vergleichen.
Seiten die dabei in unterschiedlichen Suchmaschinen mehrfach auftauchen haben
in unserer Datenbank ein höheres Ranking bekommen als andere. Durch diesen Mix der
verschiedenen Suchmaschinen mit Ihren verschiedenen Sortier/Filterkriterien
gingen wir von einem hohen Potential für unsere Suchmaschine aus.
Soweit zu unserer Grundidee.
Zur technischen Seite:
Dieser Spider fragt über Proxy Server unterschiedliche Suchmaschine
nach bestimmten Suchbgeriffen ab um dadurch zu bestimmten Stichwörtern einen
Katalog aufbauen zu können. Die Nutzung von Proxy Servern ist darin begründet das wir teilweise
sehr viele Anfrage an diese Suchmaschinen gestellt haben und vermeiden wollten
das unser Server dadurch geblockt wird oder anderweitig zu Verantwortung gezogen wird.
Sowohl für die Anfragen an die Suchmaschinen als auch die der somit gewonnen Webseiten
ist hierbei jeweils das selbe Modul zuständig. Darin begründet sich auch der Umstand
das alle Webseiten über Proxy Server und nicht direkt durch unseren Server erfaßt wurden.
Der größte Fehler hierbei lag nun darin das die Datenbankabfrage und somit das Prüfen
ob eine Seite bereits indiziert wurde nicht richtig funktionierte. Das hatte zur Folge
das einige Seiten mehrmals pro Tage über die Dauer einer Woche besucht wurden.
Dies stellte sich für den Webmaster so da als wenn über den benannten Referer
https://elict.org/awards.html plötzlich die unterschiedlichsten Besucher auf seine
Seite herreinbrachen. Dieser Referer wurde von uns allerdings nur zum testen
der Proxy Server genutzt. Hierbei hat der Spider ein dafür konzipiertes Modul selbst
aufgerufen und geprüft über welchen Proxy Server eine postive Rückmeldung kam.
Die Proxy Server die hier als negativ befunden wurden wurden gedropt.
Als der Spider nun in der vergangenen Woche seinen ersten Test unter Volllast absolvieren
sollte haben wir einerseits vergessen diesen Referer zu entfernen und die logfiles
die der Spider wärend der Laufzeit erzeugte genau zu prüfen.
Durch die Masse der indizierten Seiten waren solche Dopplungen beim Überfliegen
der logfiles leider nicht ersichtlich.
Verständlicher Weise gab es hier nun Webmaster die geprüft haben woher diese ominösen
Aufrufe in Ihren Statistiken gekommen sind. Diese folgten dem Link
https://elict.org/awards.html
und fanden hier eine leere Webseite vor. Nun haben sich sicherlich einige dieser
Webmaster die Toplevel Domain
https://elict.org/ angeschaut und auch hier
eine leere html Seite vorgefunden. Nun wurde die IP des Servers ermittelt und man wurde von
dort auf die Seite
https://global.admedia.adfarm.de/ref/a8 ... /solution/ weiter geleitet.
Da auch diese Webseite keinen Inhalt trug wurde offensichtlich hier dann die
TopLevel Domain adfarm.de selbstständig durch den Besucher (und nur durch den Besucher) aufgerufen.
Die ebend dieses hta Script enthielt das eine Sicherheitslücke in einigen Versionen des IE's ausnutzte.
Ich habe es ja nun schon einige Male gesagt und möchte es auch noch einmal wiederholen,
diese Domain und dieses Script war zu jedem Zeitpunkt rein privat und war nie dazu gedacht
andere zu infizieren bzw der Öffentlichkeit zugänglich gemacht zu werden.
Ich kann es auch nicht verstehen warum sich hartnäckig das Gerücht hält ich hätte
dieses Script über die Domain elict.org verbreitet. Das ist einfach nicht wahr.
Wenn ich soetwas vor gehabt hätte dann hätte ich zum einen nie meine eigene Domain
für soetwas genutzt und ich hätte wohl auch eher dazu tendiert direkt die Datei awards.html
zu infizieren.
In dem gesamten Zeitraum, seit beginn des Testlaufes am 5.10. bis zum 10.10.
sind bis heute ca 6500 Besucher auf die
https://elic.org/awards.html Webseite gelangt.
Zum Teil aus Statistiken und zum Teil aus Foren wie dieses.
Trafficstatistiken wie die aus dem einiger Foren kann ich somit nicht nachvollziehen.
Einige Hundertausend Zugriffe hat es auf dem Server nie gegeben.
Zugriffe auf die Toplevel Domain
https://elict.org gab dazu nur einige Hundert.
Die Anzahl der User die seit dem täglich über die IP des Servers und/oder über die URL
https://global.admedia.adfarm.de/ref/a8 ... /solution/ kommen beträgt
ca. 3-4 Dutzend. Diese kommen aber zum größten Teil über Suchmaschinen oder Foren und
erst in den letzten Tagen ist diese stark angestiegen. Nur ein geringer Teil dieser User
ist wirklich durch diesen Trojaner über die Domain adfarm.de infiziert worden.
Daher kann hier absolut nicht davon ausgegangen werden das dadurch ein Umsatzeinbruch
für die durch die HOSTS Datei umgeleiteten Server enstand. Zudem habe ich mehrfach
angekündigt das ich die durch mich infizierten Nutzer sobald sie auf meinen Server
umgeleitet werden informieren und Ihnen eine Anleitung zum Entfernen dieser Änderung anbieten.
Abschließend möchte ich hier noch einmal Stellung zu dem hta Script selbst nehmen.
Als ich auf heise.de die Demo mit dem entsprechenden Script beim durchblättern der News gefunden
habe wurde bei mir die Experimentiertfreudigkeit geweckt. Ich habe mit diesem Script
und den damit verbundenen Anwendungsmöglichkeiten in unterschiedlicher Weise rumexperimentiert.
Das sich Server mit Hilfe der Hosts Datei umleiten liesen war mir durch die Tauschbörse
Kazaa lite bekannt, diese enthielt unter anderem so eine List. Eine Liste wie sie in
unterschiedlichen Ausführungen mehrfach im Internet verfügbar ist und einer solcher
ich mich in diesem Fall auch bediente. Ich habe diese Liste nicht selbst zusammen getragen.
Auch der Sourcecode für ein C - Programm das die Hosts Datei abändert war im Internet
nebst einer Beispielliste frei verfügbar.
Hier habe ich dann neben unterschiedlichen Programmen auch mit unterschiedlichen Weiterleitungen
rumexperimentiert. Wer sich damit nun ein wenig auskennt weiß möglicherweise das sich
in der Hosts Datei keine Unterverzeichnisse sondern nur IP Adressen, Toplevel Domains oder
Subddomains umleiten lassen. Diese Erkenntnis blieb mir allerdings eine Weile verwehrt.
Aus diesem Grund entstand die relativ lange Subdomain und die angeschlossenen Unterverzeichnisse:
https://global.admedia.adfarm.de/ref/a8 ... /solution/
Da sich auch hier für mich einige Probleme auftaten habe ich schlußendlich die IP Adresse
des Servers dazu genutzt um auf den vorhandenen vhost (subdomain) umzuleiten.
Grudsätzlich stehen beide Seiten elict.org und adfarm.de in keinem Zusammenhang.
Dieses Script sollte nie Jemanden schaden oder öffentlich gemacht werden.
Das sich daraus nun soetwas entwickelt konnte ich wirklich nicht ahnen.
Ich möchte mich dementsprechend nocheinmal aufrechtig bei allen Betroffenen entschuldigen.
,
, damit es uns möglich ist
