PHP unter Feuer: Angriffe auf WordPress, PHP-Nuke & Co.
Kommentare

Die in der vorigen Woche
gemeldeten
Angriffe auf bei Network Solutions gehostete Websites
(die immer noch laufen),
darunter auch drei Websites des US-Finanzministeriums, gehören
anscheinend
zu

Die in der vorigen Woche gemeldeten Angriffe auf bei Network Solutions gehostete Websites (die immer noch laufen), darunter auch drei Websites des US-Finanzministeriums, gehören anscheinend zu einer groß angelegten Angriffswelle, die es vor allem auf WordPress-Installationen abgesehen hat. Betroffen sind bzw. waren u.a. auch bei Go Daddy (Analyse auf WPSecurityLock) und bei DreamHost gehostete Websites. Die Angriffe werden auch im Forum auf WordPress.org diskutiert.

Im Fall von DreamHost wird außer WordPress auch konkret Zencart als Angriffsziel genannt, ansonsten ist nur von PHP-Anwendungen die Rede. Wie genau die Angriffe ablaufen, ist bisher nicht bekannt. Laut Sucuri Security wurden auch aktuelle WordPress-Installationen kompromittiert. Die einzige bisher erkennbare Gemeinsamkeit der angegriffenen Websites besteht darin, dass alle auf Shared Servern gehostet werden. Da mehrere Hoster betroffen sind, kann die Ursache nicht wie bei den Anfang April durchgeführten Angriffen auf bei Network Solutions gehostete WordPress-Installationen auf eine Eigenheit des betroffenen Hosters zurückgeführt werden (damals spähte ein bösartiger Benutzer die Zugangsdaten aus für alle lesbare Konfigurationsdateien aus).

Laut Sucuri Security wird auf den Seiten der betroffenen Websites JavaScript-Code eingebunden, der über das Skript footer.php eingeschleust wird. Im manchen Fällen wurde der entsprechende Code auch in alle Skripte eingeschleust. Dancho Danchev hat die Strukturen des eingeschleusten Exploits sowohl bei den Angriffen auf Network Solutions als auch auf Go Daddy analysiert.

David Dede von Sucuri Security hat eine Anleitung samt eines Skripts zur Reinigung betroffener WordPress-Installationen veröffentlicht.

phpnuke.org kompromittiert

Die Websense Security Labs berichten, dass die Website von PHP-Nuke, phpnuke.org, kompromittiert wurde. Ein eingeschleuster iframe leitet die Besucher über mehrere Zwischenstationen auf eine Seite, auf der über getarnten JavaScript-Code Exploits für Schwachstellen im Internet Explorer, Java und Adobe Reader ausprobiert werden. Während im IE und Java jeweils nur eine Schwachstelle ausgenutzt werden soll, enthält die bösartige PDF-Datei gleich Exploits für drei Schwachstellen im Adobe Reader. Alle Exploits verfolgen das gleiche Ziel: Es soll ein Downloader installiert werden, der dann weiteren Schadcode nachlädt.

Carsten Eilers
Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -