+43 699 / 18199463
office@itexperst.at

100.000 WordPress-Seiten mit Malware infiziert

Google setzte mehr als 11.000 Domains auf die schwarze Liste, nachdem eine Malware-Kampagne WordPress Webseiten kompromittiert hatte. Die SoakSoak getaufte Aktion betrifft womöglich mehr als 100.000 WordPress-Seiten, so die Sicherheitsfirma Sucuri. Soaksoak.ru ist die erste Domain, die in der Malware verwendet wird.

Sucuri zufolge erfolgt der Angriff über das RevSlider-Plugin für WordPress.

„Das größte Problem ist, dass RevSlider ein Premium-Plugin ist. Das heißt, nicht jeder kann es einfach aktualisieren und somit wird es in sich selbst zu einem Desaster für den Seitenbetreiber“,

so Daniel Cid von Sucuri.

„Einige Webseitenbetreiber wissen nicht einmal, dass sie es haben. RevSlider ist mit ihren Themes verknüpft. Wir behandeln derzeit tausende Seiten und wenn wir mit unseren Kunden sprechen, haben viele keine Ahnung, dass das Plugin auch sie betrifft.“

Sucuri erfuhr von der Schwachstelle Anfang September letzten Jahres, damals wurde darüber auch schon in Untergrund-Foren berichtet.

„In dieser Situation beschloss ein bekannter Plugin-Entwickler, lieber nichts darüber zu veröffentlichen und im Stillen an der Behebung zu arbeiten“,

so Cid in einem Post von letztem Jahr.

Zwei Monate vor diesem Post war die Schwachstelle in dem Plugin bereits veröffentlicht worden. Dabei wurde auch beschrieben, wie ein Angreifer aus der Ferne Zugriffsberechtigungen für die Datenbank stehlen und zum Kompromittieren der Webseite nutzen könnte.

„Diese Angriffsart ist bekannt als Local File Inclusion. Dabei kann der Angreifer lokale Dateien auf dem Server aufrufen, ansehen und herunterladen“,

so Cid.

„Falls es noch nicht klar ist – das ist eine schwerwiegende Sicherheitslücke und sollte schnellstens behoben werden.“

Sucuri schätzt, dass hunderttausende Seiten von der Attacke betroffen sein könnten, auch durch Mitläufer, die sich die veröffentlichten Informationen zu Nutze machten. Über den kostenlosen SiteCheck-Scanner der Firma kann man seine Webseite auf Infektionen überprüfen lassen.

Die SoakSoak-Kampagne funktioniert über eine Reihe von Backdoor-Payloads. Einige dieser werden in Bilder injiziert, um nicht entdeckt zu werden. Andere injizieren neue Administratoren in die WordPress-Installationen, um auch langfristig stärkere Kontrolle ausüben zu können.

„Einige Nutzer beseitigen Infektionen und werden innerhalb von Minuten wieder infiziert. Dies geschieht, da die Payloads so komplex sind und nicht alles hundertprozentig gelöscht wurde“,

so Cid.

Eine Webseiten-Firewall kann das Risiko für einen Angriff durch die Malware mindern.

Artikel von zdnet.com, 16.12.2014: Google blacklists 11,000 WordPress sites amid malware campaign
Artikel von threatpost.com, 15.12.2014: Google Blacklists WordPress Sites Peddling SoakSoak Malware

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen