Bei Malware handelt es sich um einen Sammelbegriff für schadhaften Programmcode. Schadcode verbreitet sich selbstständig und sorgt dafür, dass auf dem jeweiligen Server schädliche Aktionen durchgeführt werden. Meist gelangt Malware auf den Server über Sicherheitslücken im CMS oder «gehackte» Zugangsdaten. Die schädlichen Scripts werden oft nicht sofort aktiv genutzt, können sich also bereits längere Zeit unbemerkt auf dem Server befinden.

Werden die schädlichen Scripts aktiv, so gibt es verschiedenste Angriffe, die auf ganz unterschiedliche Weise Schaden verursachen können. Folgend beschreiben wir die häufigsten Formen von Malware. Wurde auf Ihrem Webhosting Malware entdeckt, so geben wir im Artikel «Mit Malware infiziertes Webhosting bereinigen» noch Tipps, um die Malware sicher zu entfernen.

Bedingte Weiterleitungen (Conditional Redirects)

Bei diesem Angriff wird über ein Script oder Einträge in der web.config/.htaccess-Datei eine Weiterleitung bewirkt, welche Besucher Ihrer Website auf eine falsche Website umleiten. Diese entpuppt sich dann oft als Phishing-Seite oder enthält Schadsoftware. Die Weiterleitung kann auch so gestaltet sein, dass diese nur bei bestimmten Merkmalen, wie einem veralteten Browser, greift, um schlechter erkannt zu werden.

Drive-By-Download

Bei einer Drive-By Attacke wird der Programmcode Ihrer Applikation/Website manipuliert. Damit wird versucht Schadsoftware auf die Geräte der Besuchenden Ihrer Webseite zu laden. Meistens geht dies unbemerkt von statten und ist erst auf den zweiten Blick sichtbar. Diese Form von Malware wird auch durch Switch gescannt und gemeldet.

Weitere Informationen finden Sie auf Wikipedia.

Backdoors (Hintertüren)

Eine der häufigsten Funktionen von Schadsoftware auf Webhostings dient der Einrichtung und Beibehaltung von Hintertüren, englisch «Backdoors» genannt. Diese erlauben es, den Angreifenden jederzeit Zugriff auf das betroffene Webhosting zu haben, um darauf beliebig Malware zu installieren, auch wenn die Zugangsdaten geändert werden. Diese Hintertür kann nur geschlossen werden, wenn der schädliche Code gefunden und entfernt wird.

Spam-Scripts

Wenn nicht über ein ungeschütztes Seitenelement oder eine kompromittierte E-Mail-Adresse Spam versendet wird, so geschieht dies meist über Scripts auf infizierten Servern. Diese nutzen den Server zum Versand von grossen Mengen von Nachrichten. Meist führt dies dazu, dass der betroffene Server auf einer RBL landet und in Folge dessen der E-Mail-Verkehr für Ihre Domain beeinträchtigt wird.

Stellen wir auf einem unserer Webhostings Aktivitäten fest, welche durch Malware ausgelöst werden und somit gegen unsere AGB verstossen, so sperren wir das Webhosting umgehend und informieren den Halter und den technischen Kontakt per E-Mail.