Botnetze greifen WordPress und Joomla an

Zwei große Botnetze greifen verbreitete Blogs und Content-Management-Systeme an, darunter WordPress und Joomla. Bereits seit Mai 2013 ist laut Arbor Networks eine Kampagne namens Fort Disco aktiv. Die Sicherheitsfirma stieß auf sechs Kommando- und Kontrollserver, die über mehr als 25.000 infizierte Windows-Maschinen gebieten und sie für Brute-Force-Attacken mit Listen möglicher Passwörter einsetzen. Bis heute wurden dadurch 6000 Installationen von WordPress, Joomla und Datalife Engine kompromittiert.

Einen Einblick in die Kampagne gewann Arbor, weil die Angreifer öffentlich zugängliche Log-Dateien hinterließen. Aus einem hier gefundenen String ergab sich auch die Bezeichnung „Fort Disco“. Aus den Dateien ging hervor, dass mindestens vier Varianten von Malware genutzt wurden, um gleichzeitig 5000 bis 10.000 Sites anzugreifen. In 788 Fällen gelang es den Angreifern, eine PHP-Hintertür auf kompromittierten Sites zu installieren. Sie erlaubte ihnen, das Dateisystem zu durchsuchen, den Upload oder Download von Dateien einzuleiten sowie Befehle auf dem betroffenen Server auszuführen.

„Schon mit den Brobot-Attacken Anfang 2013 haben wir erlebt, dass Angreifer sich auf Blogs und Content-Management-Systeme konzentrieren“, schreibt Arbor-Mitarbeiter Matthew Bing in einem Blogeintrag. Durch den Upload einer PHP-Shell auf kompromittierte Sites sei es einem Angreifer möglich, innerhalb von Sekunden Befehle an Tausende Sites zugleich zu senden. „Blogs und CMS werden häufig in Rechenzentren mit großer Netzwerkbandbreite gehostet. Eine Anzahl solcher Sites zu kompromittieren, verhilft dem Angreifer zu ihrer kombinierten Bandbreite, die weit über ein ähnlich großes Botnetz von Home-PCs mit vergleichsweise eingeschränkten Netzwerkzugang hinausgeht.“

Arbor vermutet die Hintermänner in einem Staat, der aus der früheren Sowjetunion hervorgegangen ist. Sie haben offenbar überwiegend Sites in Russland und der Ukraine im Visier, und alle Kommando- und Kontrollserver befinden sich in diesen beiden Ländern. Um schnelle Erfolge zu erzielen, versuchen es die Angreifer zuerst mit üblichen Benutzernamen wie „admin“ oder „administrator“ sowie schwachen Passwörtern wie „123456“.

Auch Trend Micro warnte in dieser Woche vor Tausenden von kompromittierten Sites, die auf WordPress, Drupal und Joomla basieren und als Teil eines Spam-Botnetzes genutzt werden. Es geht von 195.000 Domains und IP-Adressen aus, die im Rahmen der Spambot-Kampagne Steelrat kompromittiert wurden. „Der gemeinsame Nenner dieser kompromittierten Sites besteht darin, dass anfällige CMS-Software auf ihnen läuft“, stellt die Sicherheitsfirma fest und gibt Hinweise zur Überprüfung der eigenen Website.

[mit Material von Tom Brewster, TechWeekEurope.co.uk]