In den letzten Tagen kommt eine massive Welle von Trackback und Kommentarspam in meinem Blog an. Dabei wird, wie ich bereits berichtet habe, mit recht gutem deutschen Text für Medikamente (Cialis, Viagra, Valium) und Software geworben.

Zum einen um nicht so schnell erwischt zu werden, aber sicherlich auch, um den zu erwarteten Traffik besser abzufangen, sind die Ziel-URLs dabei auf „normalen“ deutschen Webseiten untergebracht. (Auch wenn der Pfad meist durch „_“ oder „.“ Angaben versteckt werden soll.)

Ich habe jeweils mit den Betreibern der betroffenen Seiten Kontakt aufgenommen, mit unterschiedlichen Ergebnissen. Während eine garnicht reagieren, hat sich bei einer sogar der Provider um Aufklärung und Kommunikation bemühnt (hervorragend!). Dabei war auch zu erfahren, dass selbst nach der Löschung der Kuckugsei-Inhalte diese wieder abgelegt wurden. Dabei wurde nicht etwa eine Sicherheitslücke in (PHP-) Software ausgenutzt, sondern völlig „legitim“ über einen FTP Account gearbeitet.

Die Vermutung liegt nun nahe, dass die Zugangsdaten dazu ausgespäht wurden. Vermutlich über Windows Sicherheitslücken oder sogar social-engineering Maßnahmen. (Ich gehe davon aus, dass es sich nicht um technisch sehr versierte Anwender handelt.) Ab und zu kann es also nicht schaden, wenn man FTP Passwörter ändert. Selbst wenn man sie auf einen gelben Zettel an den Monitor klebt, erscheint mir das sicherer, als 4 Jahre darauf zu vertrauen, dass niemand das Passwort abgreifen kann.

Da die Domains, die betroffen sind, seit mehreren Tagen konstant wechseln, gehe ich davon aus, dass es sich um eine größere Aktion handelt. (Die jedoch gezielt auf den deutschsprachigen Markt abzielt.)

Update:

Der Spam wird immer mehr. Aktuelle betroffene Webseiten:

http://www.haller-kreisblatt.de/
http://www.netticket.de/