Sicherheitsnotiz – Schädling nutzt alte WordPress-Sicherheitslücke aus

SoakSoak-RU-Blacklisted
SoakSoak-RU-Blacklisted

Der Schädling namens SoakSoak hat hunderttausende Webseiten über das Plug-in Slider Revolution befallen und spioniert die Server aus. In einigen Fällen werden auch Besucher per Drive-By-Download infiziert.

Mittlerweile warnt man erneut vor einer bereits seit Monaten bekannten Sicherheitslücke im beliebten WordPress-Plugin Slider-Revolution. Mittlerweile wird die altbekannte Lücke von der Schadsoftware ausgenutzt. SoakSoak lädt ein bösartiges JavaScript von der Domain soaksoak.ru nach, was dem Schädling seinen Namen gab.  Der Code spät den Webserver aus und infiziert auch Besucher via Drive-by-Download. Google will nach eigenen Angaben bereits hunderttausend infizierte Seiten gesperrt haben.

Ein Update für Slider-Revolution gibt es bereits seit Februar diesen Jahres. Allerdings ist dieser Code auch in einer großen Anzahl von WordPress-Themes verbastelt und deren Nutzer scheinen sich dessen nicht immer bewußt zu sein.

Slider Revolution wird verwendet um Bilder in Teasern und Bilderstrecken rotieren zu lassen. Themes, die jetzt nach über einem dreiviertel Jahr noch diese Sicherheitslücke aufweisen, kann man nicht als gepflegt betrachten. Daher sollte man sich als WordPressnutzer überlegen, auf sichere Alternativen bei den Themes umzusteigen.

Ansonsten ist den Nutzern von Slider-Revolution empfohlen, schnellstens das Update auf Version 4.2 dieses Plugins zu installieren.

Die Firma Sucuri bietet einen einen kostenlosen Seiten-Scanner an. Alle wichtigen Links habe ich noch einmal am Artikelende zusammengefasst.

Links

  1. Warnung vor SoakSoak
  2. Sucuri – kostenloser Websitenscanner

Sicherheitsnotiz – Schadplugin für WordPress

Seit kurzer Zeit geht eine Phishingwelle um, die sich besonders an WordPress-Administratoren richtet, also jene Leute, die WordPress nur technisch betreuen und jene, die es selbst betreuen und damit Bloggen. Die Phishing Mail soll dazu verleiten, eine kostenlose Pro-Version (Premium) des allseits beliebten All in One SEO Pack zu installieren.

Was ist das All in One SEO Pack? Wozu wird es gnutzt?

Das All in One SEO Pack ist ein Plugin um den Blog durch Seitenbeschreibungen, Tags und Titel (Überschrift) den Blog für Suchmaschinen freundlicher zu gestallten. Dadurch erhöht sich die Chance, bei Google und Co. in der Trefferliste weiter nach vorn zu gelangen. Hiervon gibt es eine kostenlose Version und eine, die man bezahlen muß. Die kostenpflichte Pro-Version umfasst einige Funktionen mehr als die kostenlose. Natürlich ist in der Pro-Version auch besserer Support enthalten.

Was hat es mit der Phihing-Mail nun auf sich?

Die Phishing-Mail bietet WordPress-Administratoren und Bloggern die kostenplfichtige Pro-Version von All in One SEO Pack kostenlos zum Download an. Klackert man auf den Downloadlink in der Mail, so wird man nicht auf die offizielle Plugin-Seite von WordPress geleitet,

http://wordpress.org/plugins/

sondern landet auf einer von Spammern infizierten Seite in Australien oder Brasilien mit den Domainkürzeln *.com *.au oder *.br. Ab hier sollte man bereits das Hirn einschalten und stutzig werden.

Laut der Sicherheitsfirma Sucuri haben bereits einige deren Kunden das Plugin installiert. Und hierbei wird es kriminell. Mit dem Plugin installiert man sich einen Schadcode, der eine Hintertür im Server öffnet und die index.php der betreffenden WordPress-Blogs austauscht. Ab diesem Zeitpunkt ist es möglich, daß Ganoven beliebigen Code in den Blog ihres Opfers einschleusen können, mit dem man die Rechner der Besucher der infizierten Blogseite angreifen kann. Manche Versionen des Schadcodes leiten die Besucher beispielsweise auf Pornoseiten oder andere Server weiter, die weitere Maleware verbreiten.

Fazit

WordPress ist eine beliebte Blogsoftware und daher weit verbreitet. Durch die hohe Verbreitung von WordPress ist es auch ein beliebtes Angriffsziel um Schadcode zu verbreiten oder Spam zu verschicken. Als Blogger der WordPress verwendet oder Administrator für die technische Betreuung für WordPress sollte man dieses natürlich von Anfang an gut absichern. Hierzu findet man im Netz seitenweise Tutorials und How to’s. Auch sollte man Plugins von der offiziellen WordPress-Seite nutzen und nicht irgendwelche dubiosen Angebote aus irgendwelchen Quellen, die mal irgendwer (unbekanntes) per Mail verschickt. Klar können sich auf der Plugin-Seite von WordPress auch dubiose Angebote finden, die Wahrscheinlichkeit ist hier geringer, denn die Community darf hier Bewertungen abgeben und die Zuätzlichen Funktionen auseinandernehmen und überprüfen.

Links

http://wordpress.org/plugins/ Offizielle Seite für WordPress Plugins