Neue Infektionen, Bruteforce-Attacken auf WordPress

Innerhalb der letzten Woche fielen tausende von Websites, die auf der Plattform WordPress laufen, Infektionen und Bruteforce-Attacken zum Opfer.

Nach Beobachtungen von Sucuri greift ein Schädling mit stark obfuskiertem Code massenhaft Ressourcen mit verwundbaren Plug-Ins und schwachen Admin-Passwörtern an. Bemerkenswert ist, dass das Einschleusen der Payload aufs Geratewohl erfolgt; der mit Fehlern gespickte PHP-Code schädigt nicht nur die Dateien des WordPress-Kernels, sondern auch Theme- und Plug-In-Dateien. In der Folge ist der legitime Content auf der Website nicht mehr verfügbar, aufgrund einer Unmenge von aufpoppenden Meldungen über verschiedene PHP-Fehler, wie etwa:

Parse error: syntax error, unexpected ‘)’ in /home/user/public_html/site/wp-config.php on line 91

Wie sich herausstellte, ist der eigentliche Grund für die Infektionen eine erst kürzlich entdeckte Sicherheitslücke im Plug-In MailPoet. Alle durch die laufende Kampagne in Mitleidenschaft gezogenen Websites verwenden entweder dieses Plug-In oder sind mit solchen Seiten auf dem Server benachbart. Der Angriff beginnt immer mit dem Versuch, eine speziell gestaltete Theme-Datei zu laden. Im Erfolgsfall wird auf der Site eine Backdoor installiert, die einen Anwender-Account mit Administratorenrechten erstellt und Backdoor-Code in alle Theme- und Kerneldateien einschleust. Leider schreibt der Schädling dabei häufig legitime Dateien über und laut Expertenaussage lässt sich die Situation nur auf eine Art retten: Das System vom Schadcode säubern und die Dateien aus dem Backup wiederherstellen.

Schuld an dieser umfassenden Bruteforce-Attacke, die Sucuri und SANS identifizierten, ist allem Anschein nach xmlrpc.php – genau dieselbe PHP-Bibliothek, die Cyberkriminellen im Frühjahr dabei behilflich war, eine Reihe von DDoS-Attacken von WordPress-Sites durchzuführen. Im Rahmen der laufenden Kampagne nutzen die Angreifer die Funktion wp.getUsersBlogs XMLRPC. Die von Daniel Wesemann im InfoSec Handlers Diary Blog des SANS-Instituts veröffentlichten Anfragemuster demonstrieren anschaulich die Versuche, das Passwort (admin, admin123) auf einer angegriffenen Site abzugreifen:

Screenshot von Robert Paprocki, von ihm auf cryptobells.com veröffentlicht und dann den Spezialisten aus dem SANS übermittelt.

Nach Angaben der Experten wurden frühere Bruteforce-Attacken immer über einen Aufruf von wp-login.php durchgeführt, und darauf spezialisierte Schutzlösungen, wie etwa das Plug-In BruteProtect, sind in der Lage sie abzuwehren. Die Verwendung von XMLRPC beschleunigt den Prozess und ermöglicht die Umgehung solcher Wächter. „Die meisten dieser Add-Ons verfolgen lediglich wp_login.php in Verbindung mit dem Ergebnis wp_login_failed, sie reagieren nicht auf einen Loggin-Fehler im Format XMLRPC“, erklärt Wesemann. Der Experte unterstreicht besonders, dass eine Durchsicht der HTTP-Logs auf dem Server vermutlich auch nichts bringt: Der Webserver nimmt die Anfragen der Cyberkriminellen ohne Probleme an und gibt die im Reglement vorgesehene XML-Meldung „403 – Not Authorized“ heraus.

Sucuri registriert hunderte Eindringungs-Versuche mittels Bruteforce unter Verwendung unterschiedlicher Login-Passwort-Kombinationen. Nach Angaben der Experten stieg die Zahl solcher Versuche seit Beginn des laufenden Monats um das 10-Fache; in dem vergangenen Zeitraum zählten sie insgesamt ca. 1 Million Attacken und 17.000 Ursprungs-IP-Adressen. Dabei ist die Liste der Passwörter, mit denen die Angreifer operieren, absolut gewöhnlich, während sie bei der Auswahl des Logins nicht selten den Domainnamen verwenden oder versuchen, den Namen des Administrators zu erraten.

Das Unternehmen WordPress hat unterdessen die Anwender aufgerufen, die Passwörter zu verstärken und den Empfehlungen zur Erhöhung der Sicherheit zu folgen, die auf im entsprechenden Abschnitt auf der Website WordPress.org aufgelistet sind.

Quelle:      Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.