Google blockt wegen Soaksoak-Angriff 11.000 WordPress-Sites

SicherheitSicherheitsmanagementVirus
Wordpress Logo (Bild: Wordpress)

Der Sicherheitsfirma Sucuri zufolge fielen der Angriffswelle bereits über 100.000 Sites zum Opfer. 11.000 davon hat Google auf eine schwarze Liste gesetzt. Die über ein Plug-in eingeschleuste Malware leitet auf die verseuchte Website Soaksoak.ru um.

Nachdem durch eine als “Soaksoak” bezeichnete Angriffswelle zahlreiche WordPress-Sites kompromittieren wurden, hat Google über 11.000 Domains auf eine schwarze Liste gesetzt. Der Sicherheitsfirma Sucuri zufolge sind von der Angriffswelle bereits über 100.000 Sites betroffen und weitere Hunderttausende seien gefährdet.

Wordpress Logo (Bild: WordPress)

Die Malware versucht auf die Site Soaksoak.ru umzuleiten – daher der Name. Vor dieser mit Schadsoftware präparierten Website warnt Google ausdrücklich.

Als Einfallstor für die Malware hat Sucuri das kostenpflichtige “Premium WordPress Plug-in” Slider Revolution aus. Das ist auch als RevSlider bekannt und soll gleich mehrere Schwachstellen aufweisen. Häufig wird zudem eine nicht mehr aktuelle Version (4.1.4 oder älter) verwendet. Diese werden oft zusammen mit WordPress-Themes installiert. Threatpost erklärt das damit, das die automatische Aktualisierung des Plug-ins meist deaktiviert ist, wenn es als Teil eines Themes installiert wird.

“Einige Website-Betreiber wissen nicht einmal, dass sie es haben, weil es im Paket zusammen mit ihren Themes kommt”, schreibt Daniel Cid, CTO und Gründer von Sucuri. “Wir sind derzeit dabei, Tausende von Sites zu säubern. Wenn wir uns mit den Kunden unterhalten, haben viele gar keine Ahnung davon, dass das Plug-in sich in ihrer Installation befindet.”

Die Sicherheitsfirma warnte bereits Anfang September vor einer Schwachstelle in dem Plug-in, nachdem diese in Untergrundforen diskutiert wurde. Die Soaksoak-Attacke laufe mehrstufig ab und platziert mehrere Hintertüren. Sie versucht zunächst eine der RevSlider-Schwachstellen zu nutzen, um die Datei wp-config.php herunterzuladen. Eine zweite Schwachstelle erlaubt das Hochladen eines bösartigen Themes auf die Site, gefolgt vom Einschleusen der verbreiteten Filesman-Backdoor.

Eine zweite Hintertür verändert die Datei swfobject.js und schleust die Malware ein, die Besucher schließlich zu Soaksoak.ru umleitet. Auch kann die Einrichtung neuer Administratorenkonten erfolgen, um langfristig noch mehr Kontrolle zu erlangen.

Sucuri bietet einen kostenlosen Online-Scanner, der Websites auf diese und andere Infektionen überprüft. Den Sicherheitsexperten zufolge reicht es nicht, der Empfehlung zu folgen, swfobject.js und template-loader.php lediglich zu ersetzen, um die Infektion zu beseitigen. Solange noch Hintertüren vorhanden und die ursprünglichen Schwachstellen nicht beseitigt seien, müsse man mit einer erneuten Infektion rechnen.

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

SicherKMU

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen