Aktueller Angriff gegen Wordpress, Joomla und Co.
Ich war gerade auf der Suche nach Informationen zu meinem HP MediaSmart Homeserver und folgte diesem Suchergebnis bei Google:
Diese Website nutzt Wordpress und wurde vor kurzem gehackt. Es scheint sich dabei nicht um einen Einzelfall zu handeln, sondern um ein größeres Problem - möglicherweise auch verursacht von Hostingfirmen, da es sich um Shared Hoster handelt. Am Ende der Website findet man im Sourcecode ein eingebundenes Script:
Dadurch wird https://www.indesignstudioinfo.com/ls.php in die Ausführung der Website mit eingebunden. Auf anderen infizierten Websites ist https://zettapetta.com/js.php eingebunden. Eine Analyse des Scripts findet man unter https://sucuri.net/malware/entry/MW:MROBH:1. Das Script versucht auch, sich vor Suchmaschinen wie Google und Yahoo zu verstecken, indem es auf den HTTP User Agent filtert:
if (!stristr($_SERVER["HTTP_USER_AGENT"],"googlebot") && (!stristr($_SERVER["HTTP_USER_AGENT"],"yahoo")))
In Summe wird versucht, dem Anwender Malware unterzuschieben, in dem eine Windows XP oder Windows 7 Oberfläche mit einem Malware-Scan imitiert wird, der jede Menge scheinbare Treffer findet. Ein typischer Fall von Scareware. Also Augen auf beim Surfen auch auf bekannten und eigentlich vertrauenswürdigen Webseiten und auf keinen Fall die angebotene Datei herunterladen und ausführen!
Da noch unklar ist, über welche Schwachstelle die Seiten infizíert wurden und nicht nur von Wordpress, sondern auch von Joomla, etc. in den Kommentaren berichtet wird, sollte jeder Webmaster einer der genannten Produkte sicherheitshalber auf seinem Server nachsehen, ob noch alles in Ordnung ist.
Weitere Informationen
- Breaking News: WordPress Hacked with Zettapetta on DreamHost
https://www.wpsecuritylock.com/breaking-news-wordpress-hacked-with-zettapetta-on-dreamhost/ - New attack today against Wordpress
https://blog.sucuri.net/2010/05/new-attack-today-against-wordpress.html - WordPress › Support » How-To and Troubleshooting: 2.9.2 site hacked
https://wordpress.org/support/topic/396524 - Web Hosting Talk : Web Hosting Main Forums : Programming Discussion : my site hacked by following php code
https://www.webhostingtalk.com/showthread.php?t=946748 - Exploit on WordPress Returns - Go Daddy Responds!
https://www.wpsecuritylock.com/exploit-on-wordpress-returns-go-daddy-responds/
Comments
Anonymous
May 09, 2010
The comment has been removedAnonymous
May 13, 2010
Hmm, erstmal googeln was Bing ist.Anonymous
May 14, 2010
http://www.letmebingthatforyou.com/?q=BingAnonymous
May 15, 2010
@Daniel, klassisches Eigentor: // this method was stolen from lmgtfy.com. // credits: http://twitter.com/coderifous // thanks! gefunden in 0,3 sec., Kalorien werden noch ausgewertet. Gruß GerdAnonymous
May 15, 2010
Eigentor? Was meinst Du damit? Dass man das auch mit Google finden kan? http://lmgtfy.com/?q=bing sollte nicht so schwer sein. Irgendwie werde ich nicht ganz schlau aus Deinem Komentar...Anonymous
May 15, 2010
Hallo Daniel, kurze Aufklärung: 1. geklickt http://www.letmebingthatforyou.com/?q=Bing
- Quelltext angeschaut -> // this method was stolen from lmgtfy.com
- tierisch gelacht und ans erste Posting gedacht (ptsaustria). Übrigens, bin mittlerweile bei 58% bingen, 38 % googlen und 4% div. "Geheimtipps". Arbeite bitte nicht soviel, wir haben doch Wochenende, wirst noch gebraucht. Bin schon gespannt auf die neue Bloggestaltung, hoffe die Zeitstempel werden verständlich. Bin übrigens der mit der Naturbadekappe, der soviel Kalorien wie Steffen abgebaut hat. Und Techsmith-Fan. Nun wird sicherlich 'n Bild draus. Verzeih bitte, will nicht Deinen Blog zuspammen. Gruß Gerd
Anonymous
June 03, 2010
Man hätte vielleicht eher diese News lesen sollen... Denn offenbar existieren da auch modifizierte Varianten dieses Hacks...Anonymous
June 14, 2010
Der amerikanische Sicherheitsspezialist Brian Krebs liefert in seinem Blog eine interessante AnalyseAnonymous
June 14, 2010
Der amerikanische Sicherheitsspezialist Brian Krebs liefert in seinem Blog eine interessante Analyse