WordPress Installationen weltweit unter Angriff

Veröffentlicht in: Blog, am: 29 April 2013 | 2 Comments |

Immer mehr Hoster berichten über Angriffe auf WordPress Installationen. WordPress ist das mit Abstand verbreitetste Content Management System. IT-Sicherheitsexperten verzeichnen seit geraumer Zeit eine erhöhte Aktivität von Botnets. Allein im April 2013 gab es schon drei solche Angriffe. Weitere Angriffe gab es auf Joomla, wir berichteten.

Botnet

Botnet

 

Was ist ein Botnet?

Botnet ist ein Netzwerk von im Hintergrund infizierten Rechnern, die jederzeit und gleichzeitig aktiviert werden können, um beispielsweise große Rechenzentren anzugreifen.

Dabei werden durch die Gleichschaltung von tausenden von PC’s so viel Datentraffic freigesetzt, dass im Rahmen eines DDoS Angriffs enorme Schäden verursacht werden können. Oder eine enorme Rechenleistung, die – wie bei jüngsten Angriffen auf WordPress Installationen – zur Ermittlung von Passwörtern über die Wörterbuchfunktion genutzt werden kann.

Bei der letzten Angriffswelle sprach man von über 90.000 „beteiligten“ Rechner. In Deutschland gibt es nach verschiedenen Angaben zwischen 450.000 und 800.000 infizierte Rechner.

WordPress gehackt?

Heise berichtet über das Entstehen neuer Administratoren-Accounts im Zuge eines erfolgreichen Angriffs.

Wir konnten jedenfalls beobachten, dass in folgende drei Dateien des aktuellen WordPress Templateornders „index.php“, „page.php“, „footer.php“ Fremdcode eingefügt wurde, der eigentlich keine Schäden verursacht, sondern den Statistikzwecken dient (was natürlich eine „gute“ Nachricht ist, aber das Ganze sicherlich nicht rechtfertigt).

Finden Sie folgende Zeilen

//This code use for global bot statistic
$sUserAgent = strtolower($_SERVER[‚HTTP_USER_AGENT‘]); // Looks for google serch bot

in Ihren Dateien, besteht eine große Wahrscheinlichkeit, dass Ihre WordPress Installation gehackt wurde. Außer der drei erwähnten Template Dateien werden auch in anderen Orndern „index.php“ und weitere Dateien angelegt und infiziert. „Witzig“ ist noch, dass Worpdress eigene Dateien liesmich.html und readme.html aus dem Rootverzeichnis auch infiziert werden.

1&1 und andere Hoster betroffen

1und1 hat seine Kunden vor ca. 2 Wochen darüber informiert, dass es aufgrund der Angriffswelle zu Beeinträchtigungen bei der Erreichbarkeit und weiteren Einschränkungen kommen kann, wobei „Gegenmaßnahmen eingeleitet wurden“ und man bemüht ist, „die Einschränkungen so gering wie möglich zu halten“.

Am Freitag den 26.05.2013 teilte uns ein ehemaliger Kunde mit, dass seine Website von 1&1 abgeschaltet wurde, wobei man anmerken muss, dass 1&1 hier keinesfalls Mitschuld trägt und eigentlich fast vorbildlich agiert. Nach den diversen von uns durchgeführten Maßnahmen wurde die Website zeitnah wieder im Netz erreichbar.

WordPress gehackt, was tun?

Wie man mit einer gehackten WordPress Installation umgeht und welche Maßnahmen unbedingt zu ergreifen sind, dass es nicht dazu kommt lesen Sie in einem Extra-Beitrag, auf den wir des weiteren verlinken werden.

Gute Beiträge sind es wert geteilt zu werden!

Hinterlasse als Erster einen Kommentar

Name*
Email*

Kommentar