Categories: Sicherheit

Botnetze greifen WordPress und Joomla an

Zwei große Botnetze greifen verbreitete Blogs und Content-Management-Systeme an, darunter WordPress und Joomla. Bereits seit Mai 2013 ist laut Arbor Networks eine Kampagne namens Fort Disco aktiv. Die Sicherheitsfirma stieß auf sechs Kommando- und Kontrollserver, die über mehr als 25.000 infizierte Windows-Maschinen gebieten und sie für Brute-Force-Attacken mit Listen möglicher Passwörter einsetzen. Bis heute wurden dadurch 6000 Installationen von WordPress, Joomla und Datalife Engine kompromittiert.

Einen Einblick in die Kampagne gewann Arbor, weil die Angreifer öffentlich zugängliche Log-Dateien hinterließen. Aus einem hier gefundenen String ergab sich auch die Bezeichnung „Fort Disco“. Aus den Dateien ging hervor, dass mindestens vier Varianten von Malware genutzt wurden, um gleichzeitig 5000 bis 10.000 Sites anzugreifen. In 788 Fällen gelang es den Angreifern, eine PHP-Hintertür auf kompromittierten Sites zu installieren. Sie erlaubte ihnen, das Dateisystem zu durchsuchen, den Upload oder Download von Dateien einzuleiten sowie Befehle auf dem betroffenen Server auszuführen.

„Schon mit den Brobot-Attacken Anfang 2013 haben wir erlebt, dass Angreifer sich auf Blogs und Content-Management-Systeme konzentrieren“, schreibt Arbor-Mitarbeiter Matthew Bing in einem Blogeintrag. Durch den Upload einer PHP-Shell auf kompromittierte Sites sei es einem Angreifer möglich, innerhalb von Sekunden Befehle an Tausende Sites zugleich zu senden. „Blogs und CMS werden häufig in Rechenzentren mit großer Netzwerkbandbreite gehostet. Eine Anzahl solcher Sites zu kompromittieren, verhilft dem Angreifer zu ihrer kombinierten Bandbreite, die weit über ein ähnlich großes Botnetz von Home-PCs mit vergleichsweise eingeschränkten Netzwerkzugang hinausgeht.“

Arbor vermutet die Hintermänner in einem Staat, der aus der früheren Sowjetunion hervorgegangen ist. Sie haben offenbar überwiegend Sites in Russland und der Ukraine im Visier, und alle Kommando- und Kontrollserver befinden sich in diesen beiden Ländern. Um schnelle Erfolge zu erzielen, versuchen es die Angreifer zuerst mit üblichen Benutzernamen wie „admin“ oder „administrator“ sowie schwachen Passwörtern wie „123456“.

Auch Trend Micro warnte in dieser Woche vor Tausenden von kompromittierten Sites, die auf WordPress, Drupal und Joomla basieren und als Teil eines Spam-Botnetzes genutzt werden. Es geht von 195.000 Domains und IP-Adressen aus, die im Rahmen der Spambot-Kampagne Steelrat kompromittiert wurden. „Der gemeinsame Nenner dieser kompromittierten Sites besteht darin, dass anfällige CMS-Software auf ihnen läuft“, stellt die Sicherheitsfirma fest und gibt Hinweise zur Überprüfung der eigenen Website.

[mit Material von Tom Brewster, TechWeekEurope.co.uk]

ZDNet.de Redaktion

Recent Posts

Umfrage: Angestellte in Deutschland unterschätzen NIS-2-Richtlinie

Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…

6 Stunden ago

Kostenloser Dekryptor für ShrinkLocker

Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.

19 Stunden ago

Malwarebytes warnt vor Betrugsmaschen beim Weihnachtseinkauf

In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…

20 Stunden ago

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

2 Tagen ago

Chrome 131 schließt zwölf Sicherheitslücken

Eine schwerwiegende Anfälligkeit hebelt die Sicherheitsfunktion Seitenisolierung auf. Betroffen sind Chrome für Windows, macOS und…

2 Tagen ago

DeepL Voice mit KI für Sprach- übersetzungen

DeepL Voice ermöglicht Live‑Übersetzung von Meetings und Gesprächen in 13 Sprachen.

2 Tagen ago