Warum finde ich ein seltsames GTM-Tag im Code meiner Joomla-Seite?

Google Tag Manager ist ein beliebtes Werkzeug, um Codeausschnitte auf Ihrer Webseite einzufügen. Es ist flexibel, leistungsstark, kann aber auch missbraucht werden: Auf der Seite eines potenziellen Kunden haben wir kürzlich einen „schurkischen” (englisch: rogue) GTM-Code entdeckt, der zur Ausführung bösartiger Malware verwendet wurde.

  • Was ist ein Google Tag Manager (GTM) Tag?

    Bevor wir anfangen, lassen Sie uns versuchen zu verstehen, was ein GTM-Tag genau ist…

    Google Tag Manager – oder GTM – ist ein Werkzeug, mit dem JavaScript-Codeausschnitte dynamisch in den Code einer Webseite eingefügt werden können. Dieses wird am häufigsten verwendet, um Webseiten-Tracking (Analytik) und Werbetags einzufügen.

    Dank GTM muss diese Art von Tag nicht mehr manuell in den Quellcode Ihrer Webseite eingefügt werden, sondern Sie können alles von der Google Tag Manager-Webseite aus verwalten.

    Das Einzige, was Sie auf Ihrer eigenen Webseite tun müssen, ist, einen kurzen GTM-Code-Ausschnitt mit Ihrer eigenen individuellen GTM-ID einzufügen:

    <script async="" src="https://www.googletagmanager.com/gtm.js?id=GTM-XXXXXXX" ></script>

    Lesen Sie mehr über das Hinzufügen von Google Tag Manager zu einer Joomla-Seite.

    Bekannte Rogue GTM-Tags: (wird regelmäßig aktualisiert)
    GTM-PDDL2SH
    GTM-TB66G36

    Großes Potenzial…. aber auch für Missbrauch

    JavaScript-Tags sind sehr beliebt und werden auf den meisten Webseiten verwendet – in zunehmender Häufigkeit. Google Tag Manager bietet eine bequeme Möglichkeit, diese Tags an einem Ort zu verwalten, und gewinnt massiv an Beliebtheit.

    Aber die Möglichkeit, Code einfach einzufügen, öffnet auch potenziellen Hackern die Tür: Durch das Hinzufügen von nur 2-3 Zeilen scheinbar harmlosem Code zu einer Webseite können Sie alle erdenklichen – weit weniger harmlosen – Codes hinter den Kulissen ausführen.

    Die Inspektion: ein mysteriöses GTM-Tag

    Ein potenzieller Kunde kontaktierte uns kürzlich mit mehreren Anliegen, von denen eines darin bestand, das Vorhandensein eines unbekannten GTM-Tags im Code seiner Joomla-Webseite zu erklären.

    Durch Googeln der spezifischen GTM-Konto-ID fanden wir schnell heraus, dass das gleiche GTM-Konto auf einer Vielzahl von völlig unvernetzten Webseiten verwendet wurde.

    Ein Bild der Beweismitteltafel schwebte über einem Vergrößerungsglas.

    Wir haben auch Hinweise auf mehrere Forenbeiträge mit hilfreichen Titeln gefunden, wie z.B. „Ich habe den Code GTM-xxxxxxx Tag auf meiner Seite, warum ist er dort?“.

    Etwas zwielichtiges war im Gange.

    Wir haben uns dann die Joomla-Seite genauer angesehen und schnell festgestellt, dass der Code über eine gehackte Datei in der Webseitenvorlage eingefügt wurde.

    In der Regel entsteht diese Art von Hack bei stark veralteten Erweiterungen oder Joomla-Versionen, aber dies war das erste Mal, dass wir ein eingespeistes GTM-Tag gesehen haben, das zum Laden von bösartigem Code eingesetzt wurde.

    Also, was genau war hier los?

    Der modifizierte PHP-Code fügt ein GTM-Tag in den Head der Webseite ein. Dies entspricht nur einer einzigen Zeile Code innerhalb des <head> der Seite. Etwas, das der Webseiten-Besitzer höchstwahrscheinlich nicht einmal bemerken wird.

    Sobald dieser Code ausgelöst wird, fügt GTM selbst den bösartigen Javascript-Code ein, der auf Ihrer Webseite Chaos anrichtet! … okay, ich werde dramatisch. Tatsächlich versucht der Exploit, völlig verborgen zu bleiben, während er Ihren Server und/oder Ihre Webseite nutzt, um Gewinne für den bösen Mann zu generieren, der ihn dorthin gebracht hat.

    Ein Bild, das einen Mann zeigt, der am Computer-Hacking beteiligt ist.

    Was bewirkt der bösartige GTM-Code?

    Der beliebteste Exploit, den wir gefunden haben, war Anzeigengenerierung, wobei infizierte Webseiten unerwünschte Werbung anzeigen, um Einnahmen für den Hacker zu generieren.

    Wir haben auch mehrere ausgeklügelte Wege identifiziert, auf denen der Angreifer versucht hat, die Werbepräsenz vor dem Webseitenbesitzer zu verstecken:

    • Einige Anzeigen waren nur auf Mobiltelefonen sichtbar. Vermutlich ging der Angreifer davon aus, dass es unwahrscheinlich ist, dass der Eigentümer der Seite seine eigene Webseite mit einem Smartphone besucht und damit die Werbung entdeckt
    • Noch intelligenter ist die Skript-Blacklist, die IP-Adressen auflistet, die sie als mit der Webseite verbunden erkennt, und die Werbung für diese Benutzer deaktiviert
    Ein Bild eines Laptop-Bildschirms, auf dem Werbung angezeigt wird.

    Wir haben auch Fälle des Exploits gesehen, in denen Umleitungslinks auf mit Anzeigen gefüllte Webseiten hinzugefügt wurden. Eine weitere – wenn auch weniger ausgeklügelte – Methode, um Einnahmen für den Angreifer zu generieren.

    Ich wurde gehackt: Wie kann ich meine Webseite reparieren?

    Das einfache Löschen der gehackten Dateien wird wahrscheinlich nicht helfen, da der GTM-Tag im Code Ihrer Webseite so programmiert ist, dass er regelmäßig überprüft, ob der bösartige Code vorhanden ist… und wenn das nicht der Fall ist, diesen sofort neu generiert.

    In den meisten Fällen liegt die Quelle der Schwachstelle in veralteter Software – entweder von Joomla selbst oder einer in Joomla installierten Erweiterung – oder einer bösartigen Erweiterung, aus der installiert wurde.

    Wenn Sie ein aktuelles Backup Ihrer Webseite haben, ist die einfachste Lösung oft die einfache Wiederherstellung des letzten funktionierenden Backups Ihrer Webseite. Denken Sie daran, noch einmal zu überprüfen, ob die wiederhergestellte Version der Webseite ungehackt ist!

    Lesen Sie mehr über die Wiederherstellung einer Joomla-Website aus einem Backup.

    Wir bieten Ihnen Service & Support rund um Ihre Webseite.

    Wenn Sie Hilfe bei der Wiederherstellung Ihrer Webseite und der Aktualisierung benötigen, kontaktieren Sie uns und wir werden uns in Kürze mit Ihnen in Verbindung setzen.

    Weitere Insights