2000 Kryptominer auf WordPress Seiten gefunden!

Image result for 2000 Kryptominer auf WordPress Seiten gefunden!In diesem Jahr wurden auf mehr als 2000 WordPress Seiten eine Schadsoftware gefunden, die für Kryptomining genutzt wird und ausserdem alle Nutzereingaben aufzeichnet.

Schon Ende letzten Jahres berichtete das Sicherheitsunternehmen Sucuri von einer neuen Schadsoftware, die als Google Analytics Script getarnt wird. Damals waren mehr als 5.500 WordPress Seiten von dieser Malware betroffen. Die Schadsoftware ist mit einem Keylogger ausgerüstet, die alle Tastaturaufgaben aufzeichnet und an einen unbekannten Server schickt. Es werden ausserdem alle Nutzereingaben mit der Software aufgezeichnet.

Die grösste Attacke seit 2012!

Diese Attacke soll nach den Angaben der Sicherheitsexperten von Wordfence, der grösste Angriff auf WordPress Seiten seit 2012 sein. Zu Beginn der Attacke sollen über 14,1 Millionen Angriffe pro Stunde aufgezeichnet worden sein. Über 190.000 Webseiten sollen angegriffen worden sein, von über 10.000 verschiedenen IP Adressen aus. Die Angreifer versuchten sich mit der Brute Force Methode Zugang zu verschaffen, bei der eine Reihe von Login Kombinationen ausprobiert werden. Die Hacker haben dabei eine Datenbank benutzt, die am 5. Dezember 2017 entdeckt wurde.

WordPress bietet Hilfe an!

Wen Systemadministratoren nicht übliche Vorgänge auf Ihren Seiten bemerken, sollen Sie sich sofort an das Hilfesystem von WordPresss wenden, das bei der Beseitigung helfen kann. Mehr als 2000 Seiten sollen noch laut Daten von der PublicWWW betroffen sein. Nicht alle Versionen der Software verfügen über einen Kryptominer. Dieser soll als jQuery oder Google Analytics Skript getarnt sein. Er versteckt sich unter anderem als Skript:

• hxxps://cdns.ws/lib/googleanalytics.js?ver=…

• hxxps://msdns.online/lib/klldr.js

• hxxps://cdjs.online/lib.js

• hxxps://cdjs.online/lib.js?ver=…

• hxxps://msdns.online/lib/mnngldr.js?ver=…

Aktualisierung kann Abhilfe schaffen!

Bis jetzt kann noch nicht nachvollzogen werden, wie die Schadsoftware auf den WordPress Seiten installiert wurde. Es wird aber davon ausgegangen, das die betroffenen Seiten mit alten Versionen arbeiten. Um die Infektion zu beseitigen, müssen die schadhaften Codezeilen aus der functions.php entfernt werden und alle Passwörter und Zugangsdaten geändert werden. Die WordPress Seiten sollten außerdem schnell aktualisiert werden, mit der neuen WordPress Version ist eine Infektion nicht mehr möglich.

Leave a Reply

Your email address will not be published. Required fields are marked *