Google: 11.000 WordPress-Sites nach Malware-Kampagne auf schwarze Liste gesetzt

Die Sicherheitsfirma Sucuri schätzt, dass bereits mehr als 100.000 Sites der Angriffswelle zum Opfer gefallen und potenziell Hunderttausende gefährdet sind. Google hat über 11.000 Domains auf eine schwarze Liste gesetzt, nachdem die Malware-Kampagne „Soaksoak“ eine große Zahl von WordPress-Sites kompromittieren konnte.

(Screenshot: Leon Spencer / ZDNet.com)

(Screenshot: Leon Spencer / ZDNet.com)

Suburi machte das kostenpflichtige „Premium WordPress Plug-in“ Slider Revolution als Einfallstor in WordPress-Sites aus. Es ist auch als RevSlider bekannt und soll gleich über mehrere Schwachstellen verfügen. Es kommt häufig in einer nicht mehr aktuellen Version (4.1.4 oder älter) zum Einsatz und wird oft zusammen mit WordPress-Themes installiert. Wie Threatpost anmerkt, ist die automatische Aktualisierung des Plug-ins meist deaktiviert, wenn es als Teil eines Themes installiert wird.

Die Bezeichnung Soaksoak geht auf die Domain Soaksoak.ru zurück, weil die Malware auf sie umzuleiten versucht. Dort wartet wiederum eine mit Schadsoftware präparierte Website auf die Besucher, vor der Google ausdrücklich warnt.

„Einige Website-Betreiber wissen nicht einmal, dass sie es haben, weil es im Paket zusammen mit ihren Themes kommt“, schreibt Daniel Cid, CTO und Gründer von Sucuri, in einem Blogeintrag. „Wir sind derzeit dabei, Tausende von Sites zu säubern. Wenn wir uns mit den Kunden unterhalten, haben viele gar keine Ahnung davon, dass das Plug-in sich in ihrer Installation befindet.“

Bereits Anfang September warnte die Sicherheitsfirma vor einer kritischen Schwachstelle in dem Plug-in, nachdem sie in diversen Untergrundforen enthüllt wurde. Die Soaksoak-Attacke läuft demnach mehrstufig ab und platziert mehrere Hintertüren, wenn sie erfolgreich ist. Sie versucht zunächst eine der RevSlider-Schwachstellen zu nutzen, um die Datei wp-config.php herunterzuladen. Eine zweite Schwachstelle erlaubt dann das Hochladen eines bösartigen Themes auf die Site, gefolgt vom Einschleusen der verbreiteten Filesman-Backdoor.

Eine zweite Hintertüre verändert die Datei swfobject.js und injiziert die Malware, die Besucher zu Soaksoak.ru umleitet. Weiterer Malware-Code wird teilweise in Bildern abgelegt, um eine Entdeckung zu vermeiden. Auch kann die Einrichtung neuer Administratorenkonten erfolgen, um langfristig noch mehr Kontrolle zu erlangen.

Sucuri bietet einen kostenlosen Online-Scanner, der Websites auf diese und andere Infektionen überprüft. Die Sicherheitsexperten warnen gleichzeitig vor der verbreiteten Empfehlung, einfach swfobject.js und template-loader.php zu ersetzen, um die Infektion zu beseitigen. Solange noch installierte Hintertüren vorhanden und die ursprünglichen Schwachstellen nicht beseitigt sind, sei mit einer erneuten Infektion zu rechnen – teilweise innerhalb von Minuten, wie von einigen Nutzern berichtet.

[mit Material von Bernd Kling, ZDNet.de]

HIGHLIGHT

CNET.de-Weihnachtsgewinnspiel 2014 – mitmachen und gewinnen!

AdventskalenderHinter unserem Adventskalender verstecken sich auch dieses Jahr wieder vom 1. bis zum 24. Dezember jede Menge attraktive Gewinne. Jeden Tag werden die Preise unter allen Teilnehmern verlost, die sich für diesen Tag von 00:00 Uhr bis 23:59 für die Gewinne hinter dem jeweils passenden Türchen registriert haben.

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

3 Kommentare zu Google: 11.000 WordPress-Sites nach Malware-Kampagne auf schwarze Liste gesetzt

  • Am 17. Dezember 2014 um 09:48 von Roland Stumpp

    Hi,

    kann das sein, dass der Vorgang schon 3 Monate alt ist.
    Wir kennen diese Information seit dem 11. September 2014.

    Oder ist das neu?

    Weihnachtlicher Gruß
    Roland Stumpp

    • Am 17. Dezember 2014 um 11:12 von Anja Schmoll-Trautmann

      Hallo,

      wie im Artikel auch erwähnt, warnte die Sicherheitsfirma bereits Anfang September vor einer kritischen Schwachstelle in dem Plug-in, nachdem sie in diversen Untergrundforen enthüllt wurde. Die Information, dass die Sites auf die schwarze Liste gesetzt wurden, ist nicht alt, sondern entstammte unter anderem einem aktuellen Blog-Eintrag von Sucuri (http://blog.sucuri.net/2014/12/soaksoak-malware-compromises-100000-wordpress-websites.html).

      Beste Grüße, Redaktion CNET.de

      • Am 18. Dezember 2014 um 13:59 von Kati

        Leider bin ich großes PC-Genie, auch wenn ich unsere eigene kleine Website bei WordPress erstellen konnte. Wie erkenne ich nun als Laie,ob wir davon betroffen sind? Ich wollte gern demnächst wieder Fotos hochladen und bin nun verunsichert. Vielen Dank für Ihre Hilfe.

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *