Online-Foren in großem Stil gehackt und missbraucht

Die Angreifer haben es nicht auf die Verbreitung cooler Sprüche oder politischer Botschaften abgesehen, sondern auf Geld. Sie klauen vor allem Foren auf Basis der vBulletin-Software Google-Traffic und vermarkten den mit Anzeigen.

In Pocket speichern vorlesen Druckansicht 68 Kommentare lesen
Lesezeit: 2 Min.

Seit geraumer Zeit werden offenbar Online-Foren ganz gezielt gehackt und mit zusätzlichem Code versehen. Doch die Angreifer haben es dabei nicht auf die Verbreitung cooler Sprüche oder politischer Botschaften abgesehen, sondern auf Geld. Sie klauen den Foren Google-Traffic und vermarkten den mit Anzeigen. Betroffen sind offenbar vor allem Foren auf Basis der vBulletin-Software.

Beim ersten Besuch des Forums via Google wird man auf eine Anzeigenseite umgeleitet.

Anders als die "Schaut her, ich bin so toll"-Cracker gehen die Angreifer sehr dezent zu Werke. Sie verstecken ihren Code tief im System und sorgen dafür, dass die Umleitungen kein allzu großes Aufsehen erregen. Nur wenn der Besucher das erste Mal von einer Suchmaschine wie Google zu den Forenseiten kommt, wird er auf die URL url123.info umgeleitet. Die bringt dann zunächst eine seltsame Sperrmeldung ("Access denied") vor etwas Dummy-Text und blendet dann eine ganzseitige Anzeige von InfinityAds ein. Dies wird den Verursachern vermutlich direkt Einnahmen bescheren. Das sind zwar dann bei jeder Anzeige nur Cent-Beträge. Da manche Forenbetreiber einen Traffic-Rückgang von über 70 Prozent berichten und das Phänomen recht weit verbreitet scheint, dürfte sich das trotzdem ganz schön läppern.

Der Foren-Eigentümer und regelmäßige Forennutzer, die die Seiten direkt ansteuern, bekommen die Umleitung nie zu Gesicht. Auch wer das Ganze reproduzieren will und sich erneut via Google zum Forum durchklickt, wird nicht umgeleitet, weil bereits ein Cookie der Seite vorhanden ist. Ein Weg, die Umleitung zuverlässig zu reproduzieren, ist eine Suche im privaten beziehungsweise anonymen Modus des Browsers.

Betroffen sind durchaus prominente Foren wie etwa aktuell das Typo3-Forum, es gibt aber auch Berichte, die bereits mehrere Monate zurückliegen. Die genaue Ursache ist noch unklar. Hinweise deuten auf einen Zusammenhang mit vbSEO – einer Erweiterung für Suchmaschinenoptimierung. Die wurde offenbar so kompromittiert, dass über den Foren-Administrator-Account bösartige Plugins nachinstalliert wurden. Die vbSEO-Entwickler stellen in ihren FAQs auch ein Tool bereit, mit dem man seine vBulletin-Installation testen kann. Der vBulletin-Support empfiehlt einen etwas allgemeineren Test der vBulletin-Installation. (ju)