Den meisten ist sicherlich bewusst, dass das Internet per se nicht sicher ist, und man seinen Rechner entsprechend schützen muss. Und dies ist vollkommen unabhängig vom Betriebssystem zu sehen. So etwas wie ein sicheres Betriebssystem ist in das Reich der Sagen und Legenden einzuordnen. Aber leider hilft manchmal auch nicht der beste Virenscanner bei allen Fällen. Wobei die Frage natürlich ist, ab wann wird es gefährlich. Andererseits stufe ich jegliche Form von Spyware als gefährlich ein, auch wenn diese vielleicht nur das Verhalten im Browser aufzeichnet. Denn damit ist zumindest eine Schnittstelle geschaffen, die jederzeit erweitert werden kann.

 

Was war passiert?

Im Grunde erst einmal nicht viel. Ich habe diverse Monitoring Tools am Webserver laufen. Und die Webserver Logs werden auf auffälliges Verhalten gescannt.

Und seit einiger Zeit beobachte ich einige Aufrufe, die ich mir nicht erklären konnte.

Da tauchten dann zum Beispiel solche Einträge auf:

184.72.115.35 - - [15/Jun/2019:14:24:08 +0200] "GET /bastelprojekte/download-bereich/summary/102-display-rtc-extension-for-mircosd2iec/218-schematic-display-rtc-extension-for-mircosd2iec HTTP/1.1" 200 16033 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/600.1.25 (KHTML, like Gecko) Version/8.0 Safari/600.1.25"

Wer sich ein wenig auskennt, wird jetzt sicherlich fragen, was denn an diesem Zugriff so besonderes sein soll. Im ersten Moment war daran auch nichts auszusetzen.

Was mich allerdings stutzig machte, waren solche Zugriffe immer kurz nach Anlegen einer neuen URL, bzw. Artikel. Am Anfang noch gedacht, da ist aber einer schnell, wurde es schräg, als geschützte Seiten aufgerufen wurden, die ohne entsprechende Benutzer Rechte nicht zu sehen waren.

So habe ich mir erst einmal die betreffenden Adressen angeschaut.

184.72.115.35
54.85.182.120
54.175.74.27
54.86.66.252

Alle diese Adressen gehören zu der Domain "kontera.com". Und diese wiederum führt zu einer Firma Amobee Inc. Diese Firma verkauft laut eigener Auskunft auf deren Webseite Werbelösungen, inkl. Überwachung und Tracking von Benutzern für Firmen an.

An dieser Stelle wurde ich dann hellhörig. Sollte sich vielleicht irgend etwas auf meiner Webseite irgend etwas installiert haben, oder durch ein Plugin mitgeliefert worden sein, was den Netzwerkverkehr an diesen Hersteller sendet?

 

Verschiedene Tests

Also habe ich erst einmal eine Kopie meiner Webseite auf einen lokalen Server gespielt. Und dann habe ich den gesamten Netzwerkverkehr durch einen entsprechenden Sniffer aufgezeichnet. Allerdings war das Ergebnis negativ, es wurde keinerlei Verbindung zu Servern aufgebaut, die mir nicht bekannt waren.

Was dann aber viel interessanter war, waren plötzliche eingehende Verbindungen von den oben genannten Adressen. Auf einen Test-Server, der keine Verbindung ins Internet hat! Aber ich konnte in der Firewall eingehende Verbindungen von den gesagten Adressen bei meinem privaten Internet Anschluß sehen. Bzw. Versuche, da aber der eingehende Verkehr entsprechend reguliert ist, wurden diese abgewiesen.

Also war als nächstes mein Rechner dran, um zu schauen, ob ich mir da nicht doch etwas "eingefangen" habe. Ein erster oberflächlicher Scan hatte nichts erbracht.

Also habe ich mal ein wenig nach den Adressen recherchiert. Und wurde dort auch schnell fündig. Denn diese Adressen stehen auf sehr vielen Spyware und Blocking Listen. 

Dann fand ich einen interessanten Hinweis auf DIESER Webseite, nachdem es wohl Plugins für den Webbrowser gibt, die genau dieses Verhalten an den Tag legen. Also das Surfverhalten aufzeichnen und an Kontera übertragen.

Das dort genannte Plugin habe ich allerdings nicht im Einsatz. Auch werden die Adressen von Kontera, die ich zwar eingehend sehen kann, nicht für die Übermittlung genutzt. Wie auf der Webseite beschrieben, werden dazu auch die Adressen des entsprechenden Plugin Anbieter genutzt.

 

In die Falle getappt

Also habe ich kurz eine Webseite erstellt, die aber ohne entsprechende Rechte nicht aufrufbar ist. Diese nannte ich einfach "honeypot", die dann unter der URL https://dl2dw.de/honeypot für mich als angemeldeten Benutzer aufrufbar war.

Dann habe ich das Logfile der Firewall und des Webservers laufen lassen und diese URL aus meinem Browser heraus aufgerufen.

Und es dauerte keine halbe Minute, bis folgender Eintrag erschien:

184.72.115.35 - - [16/Jun/2019:18:05:16 +0200] "GET /honeypot HTTP/1.1" 404 27414 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/600.1.25 (KHTML, like Gecko) Version/8.0 Safari/600.1.25"

Und in der Firewall gab es genau 2 Einträge:

Die erste war natürlich die URL, die ich selber aufgerufen habe. Interessanter war die zweite URL:

api.mywot.de - 192.184.12.62

WOT sagte mir dabei sofort etwas, Es handelt sich um das Tool "Web of Trust", ein Plugin das es für fast alle Browser gibt. Es war ursprünglich mal dazu gedacht, dass User Seiten melden konnten, die nicht ganz astrein waren. Und wenn man eine solche Seite aufrief, wurde man entsprechend gewarnt.

124260 129574 i rc

 

Ein vermeintlich "gutes" Plugin entpuppt sich plötzlich selber als Spyware. Leider war der Netzwerkverkehr zwischen dem Browser und deren Server verschlüsselt, so dass ich den Inhalt selber nicht analysieren konnte. Da aber die übertragenen Datenmengen weit größer waren, als es für die URL selber nötig gewesen war, vermute ich, das das gesamte Surfverhalten aufgezeichnet wurde.

Die Lösung, um diese Sypware los zu werden, waren recht simpel. Ein einfaches entfernen über den Browser reichte schon.

Ich habe dann mal ein wenig im Internet nach Spyware und WOT gesucht. Da gehen einem schon die Augen auf, denn das ganze scheint schon einige Zeit so zu gehen. Interssant ist, dass es 2016 schon einmal schwere Datenschutzverletzungen gegeben haben muss, die Google und Mozilla dazu bewogen hatte, dieses Plugin aus dem Repository zu entfernen. 

Warum dieses Plugin wieder aufgenommen wurde, und vor allem immer noch Online ist, kann ich leider nicht erklären.

Interessant sind auch die Hinweise, dass sich der Betreiber von WOT auch gerne bei Kommentatoren rächt, die dies entsprechend melden. Dann kann es ganz schnell passieren, dass die eigene Webseite dort auf den negativen Index gesetzt wird. Sie versuchen also ihr illegales Handeln dadurch zu rechtfertigen, dass sie dann Webseiten schlecht machen, indem sie davor warnen.

Aber immerhin erklärt es, warum in letzter Zeit dieses Tool Webseiten als gefährlich angezeigt hat, die nach genauem Studium so gar nichts gefährliches hatten.

Ich persönlich kann vor diesem Plugin nur warnen!

 

 

Kommentareingabe ausblenden

5000 Buchstaben übrig


Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.