Hacker unternahmen Großangriff auf 900.000 WordPress-Seiten

Eine groß angelegte Hacking-Kampagne verursachte einen Anstieg in einer Angriffsstatistik um das 30-fache des normalen Volumens.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 192 Beiträge

(Bild: Wordfence)

Von

In den vergangenen sieben Tagen hat eine Hackergruppe versucht, fast eine Million WordPress-Seiten zu entführen. Das schildert das Sicherheitsunternehmen Wordfence. Das Threat Intelligence Team von Wordfence hatte einen plötzlichen Anstieg von Angriffen auf Cross-Site-Scripting(XSS)-Schwachstellen registriert, der am 28. April begann und innerhalb weniger Tage auf das 30-fache des üblichen Volumens an Angriffsdaten anwuchs.

Hinter den meisten dieser Angriffe verbarg sich offenbar ein einziger Bedrohungsakteur, schreibt Wordfence. Diese Hackergruppe startete ihre Angriffe von 24.000 IP-Adressen aus und versuchte, in mehr als 900.000 WordPress-Seiten einzubrechen. Den Höhepunkt erreichte die Kampagne am 3. Mai, als die Gruppe 20 Millionen Versuche unternahm, bei mehr als einer halben Million einzelner Sites Schwachstellen auszunutzen.

In erster Linie versuchten die Hacker bösartigen JavaScript-Code über XSS-Schwachstellen auf den angegriffenen Seiten zu platzieren, um Besucher der Seite dann auf manipulierte Webseiten umzuleiten. Darüber hinaus scannte der bösartige Code nach Administratorlogins, um dann automatisiert Backdoor-Konten zu erstellen.

Die normalerweise verschleierte PHP-Backdoor, hier in einer lesbaren Version ("deobfuscated").

(Bild: Wordfence)

Wordfence mutmaßt, dass die Hacker zukünftig auf andere Schwachstellen ausweichen könnten und nennt die Indicators of Compromise (IoCs), anhand derer Webseitenbetreiber feststellen können, ob ihre Seite kompromittiert wurde. Dazu gehören beispielsweise spezielle Zeichenfolgen, die in der Nutzlast vorhanden sind, oder auch Zeitstempel, die angeben, wann die Seite das letzte Mal auf eine erneute Infektion geprüft wurde, und die in einer Datei mit falscher Schreibweise namens "debugs.log" gespeichert sind.

Die Mehrheit der beobachteten Angriffe zielt auf Schwachstellen, die seit Monaten und Jahren bekannt sind und gepatcht wurden. Daher ist die beste Prävention – eine Binsenweisheit in der IT-Sicherheit –, alle Plug-ins auf dem neuesten Stand zu halten und sämtliche Plug-ins, die aus dem WordPress-Plugin-Repository entfernt wurden, zu deaktivieren und zu löschen. (ur)