Sicherheitsnotiz(en) – von Trojanern, gefährlichen Download Managern und Java-Sicherheitslücken

Das Bundesamt für Sicherheit in der Informationstechnik hat eine Warnung vor einem neuen Trojaner herausgegeben. Dieser wird als Link zu einem angeblichen Video weiterverbreitet. Das geschieht per E-Mail und über soziale Netzwerke, hauptsächlich Facebook. Beim Öffnen des Links wird man nicht zum versprochenen Video geführt, sondern zu einer Website weitergeleitet, wo man aufgefordert wird ein kostenloses AddOn für seinen Browser zu installieren. Dieses AddOn für den Internetbrowser ist der genannte Schädling, der im Browser und im Betriebssystem eine Sicherheitslücke auf, über die Man-in-the-Middle Attacken auf bestehende Internetverbindungen geführt werden können. Daher sollte das AddOn auf keinen Fall installiert werden. Bisher ist nur der Browser Chrome betroffen, Mozilla Firefox könnte demnächst folgen.

Der beliebte Download-Manager Orbit-Downloader fährt seit einiger Zeit DDoS Attacken auf verschiedene Server im Internet. Nach dem ersten Start zieht das Tool ein Angriffsmodul vom Herstellerserver naach, welches auf Zuruf Salven von Netzwerkt-Datenpaketen abschießt. Der SYN-Flood-Angriff ist so intensiv, daß er das eigene Netzwerk gleichzeitig mit lahmlegen kann. Laut dem Virenlabor von ESET wurde der Schadcode um die Jahreswende 2012/2013 in den Downloadmanager integriert. Die Hintergründe dazu sind noch unklar. Mittlerweile häufen sich unbeantwortete Anfragen von betroffenen Nutzern im Supportforum seit Monaten.

Seit kurzem kurisiert ein Exploit, der kritische Schwachstellen in Java 6 ausnutzt. Wer keinen kostenpflichtigen Wartungsvertrag mit Oracle für Java 6 und Securityupdates dazu am Start hat, sollte auf das derzeit aktuellere Java 7 zurückgreifen.

Weltweite Botnetzattacke gegen WordPressinstallationen

Webhoster berichten zur Zeit über eine massive Botnetzattacke gegen WordPress-Installationen, die gestern weltweit lief. Man habe Zugriffe von ca Neunzigtausend IP-Adressen gezählt. Das Ziel der Attacke war es anscheinend, das Administrationskennwort durch eine massive Bruteforce-Attacke zu ermitteln und eine Hintertür auf dem betroffenen System zu installieren. Es gibt Spekulationen, daß auf diese Weise ein viel größeres und schlagkräftigeres Botnet entstehen könnte, mit etlichen leistungsfähigen Servern, die mehr Rechenleistung und Bandbreite ins Internet besitzen, als ein Endbenutzer PC daheim. Dem Sucuri-Cheftechniker Daniel Cid zufolge sei auf den befallenen WordPress-Installationen unter anderem das Exploit-Werkzeug Blackhole eingeschleust worden.

Nutzer von WordPress wird daher angeraten das Passwort zu wechseln und dazu eine Kombination von mindestens 8 Zeichen – Ziffern, Buchstaben (groß und Klein), sowie Sonderzeichen – zu verwenden und keine Einträge aus Wörterbüchern. Das Administratorkonto sollte auch nicht den voreingestellten Namen admin nutzen. 1 & 1 empfiehlt seinen Kunden, in der Datei .htaccess ein weiteres, vom Administrationszugang abweichendes Passwort zu setzen. Als weitere Abwehrmaßnahme kann man die Zahl der Anmeldeversuche einschränken, das geht mit dem WordPress Plugin Limit-Login-Attemps. Es hilft auch schon gewisse IP Adressen mit WP-Ban zu blockieren. Mit Askapache-Passwort-Protect kann man die genutzten Passwörter sichern. Die Links zu den Plugins findet ihr am Ende des Artikels.

Ist der Angriff erfolgreich, so wird ein weiteres Administratorkonto auf dem betreffenden WordPress-Blog angelegt. Das heißt, daß alle unbekannten Administratoren zeitnah entfernt werden sollen. Alle andere Administratoren sollten ihr Passwort mit der oben genannten Methode stärken. Weiterhin bietet es sich an, jeden Blogartikel mit einem Kürzel zu signieren, welches keinem Nutzernamen entspricht.

Links mit weiterführenden Infos und allgemeinen Sicherungsmaßnahmen

  1. WordPress sicherer machen
  2. Infos zum Blackhole Expoit

Links zu den oben beschriebenen Sicherheitserhöhenden Plugins

  1. WP-Limit Login Attemps
  2. Askapache Password Protect
  3. WP-Ban