Dipl.-Inform. Carsten Eilers Selbstständig

„WordPress ist gefährdet. Nicht, weil es besonders unsicher ist, sondern weil es zum einen extrem weit verbreitet ist und das zum anderen dazu führt, dass es immer veraltete und damit unsichere Installationen gibt.“

Immer wieder gibt es Angriffe auf WordPress-Websites – und oft sind sie erfolgreich. Ist WordPress etwa unsicher? Und wenn ja, wieso? Und wenn nicht, warum sind die Angriffe dann erfolgreich? Und was wollen die Angreifer überhaupt?

Um die Fragen zu beantworten, fangen wir ganz am Anfang an – bei den Angriffen bzw. einigen Beispielen dafür.

August 2017: Ransomware-Angriffe

Im August 2017 haben Entwickler von Wordfence über Angriffe einer „EV ransomware“ genannten Ransomware auf WordPress-Websites berichtet. Als Ransomware wird Schadsoftware bezeichnet, die einen Rechner oder Teile davon lahmlegt und erst nach Zahlung eines Lösegelds wieder freigibt. Dabei kann das Lahmlegen z. B. darin bestehen, dass Dateien verschlüsselt werden oder der Zugriff auf den Rechner gesperrt wird. Im Allgemeinen richten sich die Angriffe gegen Windows-Clients, prinzipiell funktioniert dieses Geschäftsmodell aber natürlich mit allen Arten von Rechnern – also auch mit WordPress-Installationen.

Bei der Analyse von an WordPress-Websites gerichteten bösartigem Traffic haben die Wordfence-Entwickler mehrere Versuche beobachtet, Ransomware auf den Server zu installieren. Dabei setzt die Installation der Ransomware voraus, dass der Server bereits kompromittiert wurde. Die installierte Ransomware erlaubt dem Angreifer dann die Ver- und Entschlüsselung aller Dateien bis auf fest vorgegebene Ausnahmen mit einem einzugebenden Schlüssel. Die Startseite der Ransomware sehen Sie in Abbildung 1.

Abb. 1: Der Startbildschirm der Ransomware „EV ransomware“

Abb. 1: Der Startbildschirm der Ransomware „EV ransomware“

Nicht verschlüsselt werden Dateien, die den folgenden Mustern entsprechen:

  • *.php*
  • *.png*
  • *404.php*
  • *.htaccess*
  • *.lndex.php*
  • *DyzW4re.php*
  • *index.php*
  • *.htaDyzW4re*
  • *.lol.php*

Für jedes abgearbeitete Verzeichnis sendet die Ransomware eine E-Mail an eine vorgegebene E-Mail-Adresse, die den Hostname des infizierten Rechners und den verwendeten Schlüssel enthält. Alle Dateien, die verschlüsselt werden, werden nach der Verschlüsselung gelöscht und durch die verschlüsselte Datei, versehen mit der Dateiendung .EV, ersetzt.

Für die Verschlüsselung wird mcrypt verwendet, als Algorithmus Rijndael 128 und als Schlüssel der SHA-2256-Hash des vom Angreifer gewählten Schlüssels. Nach der Verschlüsselung wird der verwendete Initialisierungsvektor IV dem Schlüsseltext vorangestellt und das Ergebnis dann Base-64-codiert in die .EV-Dateien geschrieben.

Den vollständigen Artikel lesen Sie in der Ausgabe:

PHP Magazin 2.18 - "μCMS"

Alle Infos zum Heft
579823302Angriffsziel WordPress: Ist das CMS unsicher?
X
- Gib Deinen Standort ein -
- or -