Menü
Security

WordPress-Angreifer lieben TimThumb

Von
vorlesen Drucken Kommentare lesen 25 Beiträge

72 Prozent der Angriffe auf WordPress-Plug-ins sind gegen eine bestimmte Erweiterung gerichtet, nämlich TimThumb. Zu diesem Ergebnis kommt der Netzwerkdienstleister Akaimai, der Angriffe auf tausende Websites analysiert hat. Auch auf die Frage, ob Angriffe auf WordPress-Erweiterungen überhaupt ein Thema sind, hat Akamais Forschungsteam eine Antwort parat: Im Zeitraum von einer Woche hat das Unternehmen ungefähr 43.000 Angriffe gezählt – ein klares Ja.

Die Angreifer hatten es im von Akamai analysierten Zeitraum vor allem auf TimThumb abgesehen.

(Bild: Akamai)

TimThumb generiert Thumbnails von Bilddateien und kommt unter anderem Huckepack mit WordPress-Themes auf den Server. 2011 wurde eine Sicherheitslücke in dem Tool bekannt, durch die Angreifer aus der Ferne eigenen PHP-Code auf den Server schleusen kann. Laut Akamai haben es die Angreifer vor allem auf diese Schwachstelle abgesehen.

An zweiter Stelle der am häufigsten angegriffenen WordPress-Erweiterungen steht mit 16 Prozent weit abgeschlagen der Flash-Bildbetrachter myFlash, gefolgt von dem Plug-in der medizinischen Praxisverwaltung openEMR mit sieben Prozent. Die übrigen Plug-ins werden mit einem Anteil von etwa einem Prozent oder weniger deutlich seltener Angegriffen. Insgesamt hat Akamai Angriffe auf 66 verschiedene Erweiterungen registriert.

Bei den Angriffen geht es vor allem darum, eine Remote File Inclusion (RFI) zu erreichen; also das Einschleusen und Ausführen extern gehosteter PHP-Skripte. Die Eindringlinge installieren zumeist eine Remote Shell, über die sie beliebige Befehle auf dem Server ausführen können. Darüber hinaus ist ein nicht näher genannter Bot hoch im Kurs, der unter anderem selbst dazu in der Lage ist, weitere Webserver zu infizieren.

Siehe hierzu auch:

(rei)