Przejęcie strony WWW oznacza atak hakerski, który umożliwia napastnikowi przejęcie kontroli nad hostującym ją serwerem usługowym. Zazwyczaj wiąże się to z naruszeniem integralności plików, wprowadzeniem własnej treści, instalacją obcego oprogramowania i wykorzystaniem maszyny do celów, do których właściciel nie zamierzał jej wykorzystywać.

Początkowo najczęstszym atakiem była podmiana oryginalnej strony WWW na zawierającą inną treść. Ten typ ataków nazywano deface. Ich celem bywały przedsiębiorstwa komercyjne, ale także operatorzy telekomunikacyjni. Wiele ataków przeprowadzili nastoletni hakerzy, wykorzystując bezlitośnie błędy w konfiguracji serwerów lub nieaktualne oprogramowanie. Od 1998 do 2001 r. dość często atakowano serwery Telekomunikacji Polskiej SA. Niekiedy włamywacze pozostawiali na podmienionej stronie startowej informacje o sposobie ataku (na przykład, że wykorzystali błąd obsługi Unicode w serwerze IIS Microsoftu). Ataki te stały się czymś w rodzaju kultowego sposobu walki z operatorem - wielokrotnie podmieniano strony startowe.

Zobacz również:

• Wielka inwestycja Atmana w przetwarzanie danych
• AI ma duży apetyt na prąd. Google znalazł na to sposób
• OpenAI rozważa stworzenie własnych układów scalonych AI

Oczywiście Telekomunikacja Polska nie była jedynym celem, atakowano także serwery NASK, Computerlandu, tygodnika Wprost, wielu szkół, a nawet Kancelarii Prezesa Rady Ministrów i Ministerstwa Obrony Narodowej.

Obecnie ataki przeciw stronom WWW przestały się wiązać z chęcią pozyskania sławy przez nastoletnich hakerów, zatem podmiany strony głównej spotyka się stosunkowo rzadko. Dzisiejsze ataki mają podłoże komercyjne i służą do zupełnie innych celów - mają za zadanie wykorzystanie dobrej reputacji stron komercyjnych do dystrybucji złośliwego oprogramowania.

Magazyn plików

Obcy serwer mógł być wykorzystywany do publikacji pirackiego oprogramowania lub innych wątpliwie legalnych treści. Taki publiczny "magazyn" utworzono na niejednej przejętej maszynie - przechowywano tam głównie pirackie oprogramowanie, filmy oraz pornografię. Ofiara ataku dowiadywała się o nim głównie ze statystyk ruchu lub obciążenia serwera, nierzadko z bardzo dużym opóźnieniem. Ślady włamania pozostawały wtedy trudno dostępne, gdyż logi były niszczone lub nadpisywane. O ile sama zawartość nie stanowiła zagrożenia dla klientów łączących się do hakowanego serwera, to jej obecność powodowała jednak problemy natury prawnej.

Obecnie wykorzystywanie przejętych serwisów webowych do publikacji podobnych treści spotyka się bardzo rzadko. Główną przyczyną jest łatwa dostępność innych metod publikacji, na przykład portali współdzielenia plików lub obecność dobrze zorganizowanych sieci wymiany w modelu peer to peer.

Kradzież reputacji strony

W obliczu komercjalizacji ataków działania hackerskie odeszły w cień. Obecnie serwery WWW są przejmowane głównie w celu wykorzystania kierowanego do nich ruchu, by zarazić gości złośliwym oprogramowaniem lub wyświetlić im inną treść. Zamiast radykalnych zmian wyglądu strony wprowadzane są nieduże ramki (IFRAME) lub obiekty JavaScript, które po przetworzeniu w przeglądarce przekierują internautów na serwer hostujący złośliwe oprogramowanie. Jeśli na serwer wprowadzane są niepożądane treści, takie jak instalatory złośliwego oprogramowania, zazwyczaj znajdują się w jakimś podkatalogu głównego serwisu. Bywa, że strona główna nie jest zmieniana po to, by skanery producentów oprogramowania antywirusowego mogły klasyfikować ją jako obojętną lub obdarzoną dobrą reputacją.

Im strona ma więcej odwiedzin i jest klasyfikowana w oprogramowaniu filtrowania ruchu jako pozbawiona szkodliwych treści, tym lepszym celem będzie dla cyberprzestępców. Umieszczenie odnośnika, czasami w postaci jednopikselowego przezroczystego obrazka wywołującego inny skrypt, sprawi, że systemy filtrowania i klasyfikacji treści przepuszczą takie odwołanie. Mają do tego podstawy, gdyż reputacja strony nie wskazuje na konieczność filtrowania treści. Zatem przeglądarka będzie mogła pobrać i uruchomić szkodliwą zawartość. Technologia ta, nazywana zarażaniem drive-by, wykorzystuje strony o dobrej reputacji, często zupełnie niezwiązane z branżą komputerową.

Dość głośnym przykładem z maja 2008 r. było włamanie na stronę firmy Honda, gdzie włamywacze umieścili tag JavaScript w ramce IFRAME. Powodowało to wykonywanie zestawu skryptów, z których część pochodziła z innej domeny. Po wykryciu podatności przeglądarki Internet Explorer instalowano złośliwe oprogramowanie ZeuS/Zbot. Prawidłowa reakcja administratorów serwisu polegała na natychmiastowym zamknięciu obecnej strony i analizie zarówno metod, jak i celu włamania.