Aktueller Angriff gegen Wordpress, Joomla und Co.

Ich war gerade auf der Suche nach Informationen zu meinem HP MediaSmart Homeserver und folgte diesem Suchergebnis bei Google:

Link zur Malware-verteilenden Seite 

Diese Website nutzt Wordpress und wurde vor kurzem gehackt. Es scheint sich dabei nicht um einen Einzelfall zu handeln, sondern um ein größeres Problem - möglicherweise auch verursacht von Hostingfirmen, da es sich um Shared Hoster handelt. Am Ende der Website findet man im Sourcecode ein eingebundenes Script:

Eingebundenes Malwarescript

Dadurch wird https://www.indesignstudioinfo.com/ls.php in die Ausführung der Website mit eingebunden. Auf anderen infizierten Websites ist https://zettapetta.com/js.php eingebunden. Eine Analyse des Scripts findet man unter https://sucuri.net/malware/entry/MW:MROBH:1. Das Script versucht auch, sich vor Suchmaschinen wie Google und Yahoo zu verstecken, indem es auf den HTTP User Agent filtert:

if (!stristr($_SERVER["HTTP_USER_AGENT"],"googlebot") && (!stristr($_SERVER["HTTP_USER_AGENT"],"yahoo")))

In Summe wird versucht, dem Anwender Malware unterzuschieben, in dem eine Windows XP oder Windows 7 Oberfläche mit einem Malware-Scan imitiert wird, der jede Menge scheinbare Treffer findet. Ein typischer Fall von Scareware. Also Augen auf beim Surfen auch auf bekannten und eigentlich vertrauenswürdigen Webseiten und auf keinen Fall die angebotene Datei herunterladen und ausführen!

Da noch unklar ist, über welche Schwachstelle die Seiten infizíert wurden und nicht nur von Wordpress, sondern auch von Joomla, etc. in den Kommentaren berichtet wird, sollte jeder Webmaster einer der genannten Produkte sicherheitshalber auf seinem Server nachsehen, ob noch alles in Ordnung ist.

Weitere Informationen