Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 29/11/2011
Nogle websteder har fået tilføjet subdomæner, der fører til skadelig kode. Angrebsmetoden er ikke kendt.Sikkerhedsforsker Tom Liston fra SANS Internet Storm Center har fundet en række eksempler på legitime websteder, der har fået tilføjet nye subdomæner. Et eksempel er www.asfiusa.com, der har fået nye domæner som buy-viagra.asfiusa.com og payday-loans.asfiusa.com.
De nye domæner peger ikke på firmaernes egne servere, men henviser til andre servere, der enten spreder skadelig software eller sælger tvivlsomme produkter.
For nylig blev Tom Liston opmærksom på en ny variant: Nu dukker der subdomæner op af typen img.youtube.com.oprindeligtnavn.com. Her er forklaringen, at WordPress-udvidelsen Timthumb har en mangelfuld kontrol af de domænenavne, som billeder kan hentes fra. Det udnytter angribere til at afvikle skadelige programmer.
Det vides ikke, hvordan bagmændene får adgang til at ændre i domæneoplysningerne. De ligger i DNS-servere, der som regel bestyres af internetudbydere. Angrebet kan enten udnytte svagheder i udbydernes kundesystem eller svage passwords hos kunderne.
Anbefaling
Hold øje med DNS-registreringerne for de domæner, I har ansvaret for.