Sicherheitslücken im Web-Server
Um eine neue Angriffswelle zu starten, bringen Online-Kriminelle zunächst mehrere, besser möglichst viele Web-Server unter ihre Kontrolle. Sie benutzen dazu etwa ausspionierte FTP-Passwörter oder Sicherheitslücken in der Server-Software. Dazu gehören neben dem Web-Server-Dienst selbst auch PHP-Anwendungen wie Content Management Systeme, Foren oder Blogs sowie Datenbanken.
Viele Web-Anwendungen setzen auf einer SQL-Datenbank auf. Daher ist eine der häufigsten Angriffsmethoden von kriminellen Hackern die so genannte SQL-Injection-Attacke. Unzureichende Überprüfung von Daten, die Besucher einer Website in Formulare eingeben oder als URL-Parameter übergeben können, lässt direkte Befehle an die im Hintergrund arbeitende Datenbank durch.
Haben die ungebetenen Gäste ausreichende Kontrolle erlangt, um eine vorhandene Seite zu manipulieren oder eine neue abzulegen, wird die mehrstufige Malware-Falle installiert. Die erste Stufe besteht oft nur aus einer Zeile Javascript, die Besucher auf eine andere Website umleitet oder weiteren, getarnten Code von dort in den Browser lädt. Dieser klopft den Rechner des Besuchers auf ausnutzbare Schwachstellen ab.