Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Software & Infrastruktur

Erschreckender Anstieg gehackter WordPress-Seiten: Hunderte Blogs sollen Ransomware ausliefern

    Erschreckender Anstieg gehackter WordPress-Seiten: Hunderte Blogs sollen Ransomware ausliefern

WordPress-Hack. (Screenshot: Sucuri)

Gleich mehrere Sicherheitsfirmen haben diese Woche berichtet, dass es einen starken Anstieg an gehackten WordPress-Websites gibt. Die betroffenen Seiten sollen versuchen die Rechner von Besuchern mit Ransomware zu infizieren.

WordPress-Seiten liefern Ransomware aus

Am 1. Februar 2016 berichtet die Sicherheitsfirma Sucuri von einem massiven Anstieg an gehackten WordPress-Seiten. Seitdem bestätigten zwei weitere Unternehmen aus dem Sicherheitsbereich die Angaben von Sucuri. Laut Malwarebytes sollen Hunderte Websites betroffen sein. Bei den angegriffenen Seiten wird schädlicher Javascript-Code in die bestehende Codebasis integriert. Dieser Code schickt Besucher weiter auf andere Seiten, auf denen ihre Rechner dann mit Ransomware infiziert werden könnten.

Betroffen sind Nutzer die eine nicht aktuelle Version von Adobes Flash-Player, Adobes Reader, Microsofts Silverlight oder des Internet Explorers einsetzen. Um nicht sofort aufzufliegen, zielt die Weiterleitung nur auf Besucher, die zum ersten Mal die betroffene WordPress-Seite aufrufen. Immerhin soll Googles Safe-Browsing-Mechanismus Nutzer vor dem Besuch einiger der betroffenen Weiterleitungen warnen. Ein Blog-Beitrag von Heimdal Security zeigt allerdings, dass sich die Ziel-Domains seit Beginn der Kampagne geändert haben. Es bleibt daher anzunehmen, dass die kriminellen Urheber der Ransomware-Kampagne die Weiterleitungen immer wieder aktualisieren.

WordPress: So sieht der verschlüsselte Schadcode aus. (Screenshot: Sucuri)
WordPress: So sieht der verschlüsselte Schadcode aus. (Screenshot: Sucuri)

Anstieg an WordPress-Hacks: Ursache derzeit noch unbekannt

Derzeit ist unklar, wie sich die Hintermänner der Kampagne so vielen WordPress-Blogs bemächtigen konnten. Es ist möglich, dass die betroffenen Seiten einfach nicht sonderlich gut auf ihre Sicherheit geachtet haben. Möglich wäre aber auch der Einsatz einer bislang unbekannten Sicherheitslücke in WordPress oder einem der eingesetzten Plugins.

Die Malware infiziert nach Angaben des Sicherheitsexperten Denis Sinegubko alle JavaScript-Dateien auf einem Server. Werden mehrere Websites über einen Hosting-Account betrieben, könnten leicht alle Seiten infiziert werden. Auch müssten im Schadensfall alle Seiten von dem Schadcode bereinigt werden, da sie sonst die anderen Websites immer wieder infizieren könnten.

In diesem Zusammenhang sollten Seitenbetreiber auch unbedingt einen Blick auf unseren Artikel „WordPress, Joomla!, Drupal und Co.: Die wichtigsten Updates für die wichtigsten CMS (Januar)“ werfen.

via arstechnica.com

Finde einen Job, den du liebst

18 Reaktionen
Riesenhaus
Riesenhaus

Schön verrückt das ganze. Hoffentlich sind nicht allzu viele Blogs betroffen von diesem hack. Apropo Fehler in Communities...vielleicht mal interessant für jeden sich Fragen für Zuckerberg auszudenken, weil er bald nach Deutschland kommt. Guten Artikel zum diskutieren hier gefunden dazu:

http://www.freizeitcafe.info/fragen-an-zuckerberg-in-deutschland/

Ich bleibe auch weiter bei Wordpress :-)

Antworten
grep

Hallo ...,

da CMS - relativ - exponiert sind, sollte man affin mit betreffender Software sein; viele (sog.) Administratoren sind technisch leider eher unbedarft, dass ist das eigentliche Problem.

Ciao, Sascha.

Antworten
Mehmed Saral

Sicherheitsplugins nützen gar nichts, schaffen nur noch mehr Sicherheitslücken... Meine Heransgehensweise ist neue Updates immer gleich draufspielen (max. 1 Tag nach Release), dem Webserver nur auf ausgewählte Folder Schreibrechte geben (z.B. WP-Uploads) und ein solides Backupplugin für die DB und den Webspace mitlaufen lassen.

Antworten
Sascha
Sascha

Wir halten unser Wordpress immer aktuell, Updates werden immer sofort eingespielt und trotzdem wurden wir Anfang Januar gehackt. Warum, Passwort war zu leicht zu hacken

Antworten
Felix
Felix

Gibts ein Tool bzw. Website, mit der man Wordpress installation auf ransomware überprüfen kann?

Antworten
Julian
Julian

Ja, z.B. den Malware Scanner von Sucuri: https://sitecheck.sucuri.net/

Antworten
Physiotherapeut Hannover

Das Problem ist auch mir persönlich bekannt. Mehrere Bekannte sind davon betroffen. Liegt sicherlich auch daran, dass die Updates nicht regelmäßig ausgeführt werden bzw. Sicherheitsplugins gar nicht installiert sind. An der Stelle könnte ich einen Tipp gebrauchen, welches Sicherheitsplugin für Wordpress am sinnvollsten ist. Ich wäre dankbar für jeden Ratschlag.

Antworten
Mirko

Unverzichtbar ist wordfence ( https://de.wordpress.org/plugins/wordfence/ ), damit ist schon sehr viel getan.
Und natürlich die grundlegenden Maßnahmen: Kein Benutzer names "admin", den Datenbank Prefix bei der Installation ändern!

Antworten
Andi
Andi

Wordfence + iThemes Security + sucuri

- admin umbenennen und User-ID ändern (iThemes Security)

- 404-Lockouts

- Backend-URL ändern

- sichere Passwörter

- die "authentication keys und salts" ändern

- regelmäßige Backups

jm2c

Andres

Der letzte Link in dem Artikel "Wordpress" scheint auf eine Webseite zu verweisen auf der das CSS nicht geladen wird.

Antworten
Dominik

Automatische Hintergrund-Aktualisierungen wurden in WordPress 3.7 eingeführt, um die Sicherheit und die generelle Update-Erfahrung zu verbessern. Standardmäßig ist das Autoupdate nur für Minor Releases, welche für Wartungs- und Sicherheitszwecke herausgebeben werden, und für die Übersetzungsdateien aktiviert.

Antworten
Benedikt
Benedikt

Das liegt zu 95% an den mangelnden Sicherheitsmaßnahmen. Schlechte Kennwörter in Kombination mit Sicherheitslücken wie folgenden:
https://wordpress.org/support/topic/wp-431-still-allows-visibility-of-admin-usernames

Wordpress wird immer noch viel von Skript-Kiddies eingesetzt, die sich über sowas überhaupt keine Gedanken machen.

Antworten
Blub
Blub

Blöde Frage, aber Wordpress aktualisiert sich doch von selbst?? Oder kann man das irgendwo abschalten? Wunder mich immer wieso es so viele nicht-aktuelle Installationen geben soll

Antworten
Guest
Guest

Wurde das automatische Sicherheits-Update nicht erst mit einer späteren Version erst eingeführt? Noch dazu müsste man große Versions-Updates(z.b. on 3.xx auf 4.xx oder auch 4.1 auf 4.2) immer noch manuell machen außer man stellt es selbst auf automatisch um.

Ich kenne jedenfalls noch Seiten auf 4.2, 4.1, 4.0 und selbst 3.7. Fragwürdige Methoden für Corporate Websites, aber warscheinlich nicht selten.

Antworten
Ein Job für Hoster
Ein Job für Hoster

Ein Job für die Hoster wo die Server und verseuchten Dateien auf den Server-Platten liegen.
Wenn Frachtcontainer oder Pakete rauchen oder Geräusche von sich geben holt man ja auch die Feuerwehr...

Vielleicht auch ein Pattern für adblock und alle anderen Filter-Systeme wo ein Großteil der Webseiten durchläuft und wo man Verseuchung o.ä. erkennen kann. Lokale Proxies sind ja leider unüblich.
Habt Ihr mal Opera gefragt ob sie es schon ausfiltern ? OperaTurbo und OperaMax sind die relevanten Keywords für Eure Anfrage...

Antworten
Benedikt
Benedikt

Hier eine gute Liste: http://bfy.tw/46cs
.. das Thema ist doch echt ur-alt!

Antworten

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen