über 100.000 WordPress Domains von Malware-Attacke betroffen

Schon seit geraumer Zeit ist bekannt, dass WordPress Domains durch Malware infiziert werden kann, da Sicherheitslücken bekannt geworden sind. Wirklich alarmiert zeigten sich die Domainbesitzer erst jetzt.

Und das offenbar auch nur deswegen, weil Google kurzerhand 10.000 WordPress-Domains geblacklisted hat, um den Schaden für Besucher der Seiten zu minimieren.

Verantwortlich ist das WordPress Plugin Slider Revolution

Sucuri, eine Sicherheitsfirma geht davon aus, das sogar noch viel mehr Domains betroffen seien könnten. Die geschätzte Anzahl der infizierten Webdomains liegt bei 100.000 und weitere Hunderttausende, die nach ihren Angaben gefährdet sind.

Soaksoak heißt auch die .ru-Domain, auf die die Schadsoftware umzuleiten versucht, damit von dort aus dann weitere Schädlinge installiert werden können. Google warnt schon seit Längerem vor dieser Seite. Dass viele Domainbesitzer gar nicht wissen, dass ihre Domain infiziert ist oder sehr leicht infiziert werden kann, das wundert Daniel Cid, Gründer und CTO von Sucuri, nicht. Das Theme gehört zu einer nicht mehr aktuellen Version und die automatischen Updates sind ausgeschaltet. Aus diesem Grund bietet die Sicherheitsfirma einen kostenlosen Online Scanner auf sitecheck.sucuri.net an, der Domains nach dieser und weiteren Schädlingen scannt. Vor der weitverbreiteten Empfehlung, die swfobjects.js und template-loader.php zu entfernen oder einfach zu ersetzen warnen die Sicherheitsexperten. Hintertüren könnten trotzdem vorhanden sein und innerhalb weniger Minuten erneut eine Infizierung herbeiführen, denn die Malware ist bekannt dafür, gleich mehrere dieser Zugänge zu platzieren.

In der ersten Stufe, des mehrstufigen Angriffs wird die Datei wp-config.php heruntergeladen. Der nächste Schritt lädt dann ein infiziertes Thema auf die Domain. Danach wird der Filesman-Backdoor eingeschleust. Gleichzeitig wird die Datei swfobjects.js infiziert und Besucher der Domain werden zu soaksoak.ru umgeleitet. Dort wird dann Malware heruntergeladen, teilweise in Bildern, und unauffindbare Administratorenkonten angelegt. Fies, denn der Angriff dauert nur Minuten und die versteckten Infizierungen sind nur schwer auszumachen.

Jedem betroffenen Domainbesitzer oder jedem, der glaubt betroffen sein zu können wird dringend geraten, den Online Scanner der Sicherheitsfirma Sucuri zu benutzen, um eine eventuelle Infizierung auszuschließen oder ausfindig zu machen. Von WordPress aus diesem Grund abzuraten wäre mit Sicherheit vollkommen überzogen, doch sollte man diese und ähnliche Gefahren nicht unterschätzen. Deswegen raten Experten auch dazu, keine veralterten Versionen oder Themes herunterzuladen oder zu installieren. In diesem Fall versteckten sich die Sicherheitslücken in der Version 4.1.4 oder älter.
Solange ihre eigene Domain noch betroffen ist oder der Verdacht auf eine Infizierung mit Malware nahe liegt, sollte jeder Domainbesitzer in seinem eigenen Interesse die Besucher der eigenen Seite informieren oder dafür sorgen, dass die Infizierung schnellstmöglich behoben wird. Ob man die Seite vorübergehend komplett vom Netz nimmt oder nicht, das bleibt natürlich jedem selbst überlassen, sinnvoll wäre es allerdings, um eine Weiterverbreitung zu stoppen.

Bei einer bestehenden Infizierung sollte der Domaininhaber nicht nur die Anweisungen befolgen, die ihm von dem Online Scanner gegeben werden, sondern zusätzlich auch auf mehr Sicherheit auf seinem eigenen Rechner sorgen, denn offenbar hat dann keine der Sicherheitseinrichtungen, falls überhaupt vorhanden, vernünftig funktioniert. Das Bürger-CERT informiert auf einer sehr kompetenten und umfangreichen Seite ausführlich darüber, wie man sicher im Netz unterwegs ist und welche Mindestvoraussetzungen gegeben sein sollten.

Autor Wolfgang Wild Domainsmalltalk