Mehrere Onlinedienste wie heise.de und golem.de berichten unter Berufung auf http://blog.sucuri.net/2013/12/phishing-emails-to-install-malicious-wordpress-plugins.html von einer aktuellen „sozialen“ Angriffswelle, die sich gegen die Administratoren von WordPress richtet.
Viele Admins erhalten Spam-Mails, die ein kostenloses Plugin für WordPress anbietet. Es handelt sich angeblich um die eigentlich kostenpflichtige Pro-Version von „All-In-One-SEO Pack“ von Michael Tobert. Diese kostet , je nach Aktion, 39 bis 70 US-Dollar. Die Betreffzeile der Mail soll in etwa „Happy Black Friday“ oder „Cyber Monday“ lautet.
Kostenloses Premium-SEO-Plugin entpuppt sich als Backdoor – Schadsoftware
Die Phising-Mail will WordPress-Blogbetreiber dazu bringen, die vermeintlich kostenlose Proversion herunterzuladen. Die heruntergeladene Datei sieht auch aus wie „All-on-one-SEO Pack“, beinhaltet aber zusätzlichen Schadcode.
Die Downloadquelle liegt auf einer Domain mit .com.au oder auch .com.br. Installiert wird nach Medienberichten, die sich auf die Firma scuri (scuri.net) beziehen, ein bösartiges Plugin, das auf dem Server eine Hintertür öffenet. Die originale index.php-Datei wird ausgetauscht und kann aus einer Quelle unter 91.239.15.61 beliebigen Code downloaden und auf dem Server ausführen.
So wird dann ein Download von weiterem Schadcode gestartet. Der wiederum lädt Inhalte über die CURL Funktion nach.
Über eine Javascript-Lücke wird auch versucht, die Rechner der Leser des Blogs zu infizieren. Ein weiterer beschriebener Effekt ist, dass Weiterleitungen auf Porno-, Spam- oder Malwareseiten stattfinden.
Checken Sie die Plausibilität solcher Angebote und Plugin-Downloads
Fazit: Seien Sie vorsichtig bei plötzlich „kostenlosen“ Premium-Plugins. Diese Plugins gibt es über WordPress-Server oder über die Domains der Hersteller bzw. Autoren. Bei einer .com.au – oder .com.br. Domain ist Vorsicht geboten.
Außerdem wichtig: In diesem Fall wurde ein Infektionsweg über E-Mail beschrieben. Man kann sich genauso gut vorstellen, dass auch über Soziale Netzwerke ein entsprechendes Angebot gespamt wird.
Wordpress ist extrem beliebt, um damit eigene Webseiten zu betreiben. Das macht die Software als Angriffsziel auch so beliebt.
Wir können Ihnen nur raten, zunächst vorsichtig zu sein. Ein Plugin greift tief in WordPress ein und kann auf dem Server viele Funktionen ausführen.
goneo Malwarescanner – Info per E-Mail und via goneo Kundencenter
Seit einiger Zeit haben wir bei goneo einen Malwarescanner im Einsatz, der nach entsprechenden Signaturen von Schadsoftware sucht und dem Seitenbetreiber eine Mail zukommen lässt, die eine Liste mit bdrohlichen Dateien auf dem Webspace beinhalten. Sollten Sie so eine Mail von uns bekommen: Nehmen Sie diese bitte ernst. Entfernen Sie die schadhafte Software. Der oben berichtete Fall zeigt, dass sowohl Ihre WordPress-Installation als auch die Rechner Ihrer Webseitenbesucher geschädigt werden können.
Die Liste mit potentiell schädlichen Dateien finden Sie auch im goneo Kundencenter. Wenn Sie aus welchen Gründen auch immer, keine Mails von goneo erhalten, sollten Sie ab und an im goneo Kundencenter einen Blick auf diese Liste werfen.
Angebote des BSI
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat zusammen mit dem Internet-Branchenverband eco mit www.initiative-s.de eine Site aufgebaut, die verspricht, Webseitenbetreibern beim sicheren Betrieb von WordPress, Joomla! und Co zu unterstützen. Wir haben uns um die Aufnahme in diese Initiative bemüht, sind aber leider auf diesem steinigen bürokratischen Weg noch nicht zum Ziel gekommen. Daher können wir diesen Dienst noch nicht vollends empfehlen, da wir nicht sicher sind, ob es sich um eine PR-Massnahme oder um ein werthaltiges Angebot handelt. Wir halten Sie auf dem Laufenden.
Service und Informationen von Google zu gehackten Sites
Als Website-Betreiber verwenden Sie sicher auch Google Webmaster Tools. Dort gibt es in der deutschen Version den Menüpunkt „Sicherheitsprobleme“. Normalerweise sollte dort kein Eintrag stehen („Wir konnten auf Ihrer Website keine Sicherheitslücken feststellen“). Sollte ein anderslautender Eintrag zu finden sein, werden Sie bitte umgehend tätig und entfernen Sie den Schadcode.
Die Webmaster Tools zeigen auch Hinweise und bieten weitere Informationen an. Sie können dann eine neue Sicherheitsüberprüfung von Google anstoßen. Im Regelfall schickt Ihnne Google auch per E-Mail eine entsprechende Warnung und legt beim Aufruf Ihrer Domain einen Warnbildschirm, den User sehen, wenn Sie Google Chrome oder Firefox verwenden. Allgemeine Ratschläge von Google finden Sie unter https://www.google.com/intl/en/webmasters/hacked/ (zur Zeit nur in englischer Sprache verfügbar).