Bereits vor einigen Wochen gab es eine Angriffswelle auf fremdgehostete WordPress-Systeme, nun scheint sich dieses Szenario zu wiederholen. Laut heise.de sind derzeit sogar noch mehr Provider betroffen.
Wieder werden Javascript zu virenversuechten Seiten eingeschleust die sich teilweise selbsständig in IFrames öffnen und versuchen Schadcoe auf dem Rechner des Nutzers auszuführen. Diesmal wurde eine Weiterentwicklung der Scripte eingesetzt die sich vor dem Googlebot tarnt und so die Malware Warnung von Google umgeht.
Falls jemand betroffen sein sollte gibt es hier eine Anleitung wie man die Seiten wieder sauber bekommt bzw. wie man die Virus aus dem Footer oder Header entfernt.
Leider ist noch nicht klar, wie die Attacke ausgeführt wurde so dass es bislang noch keine wirksamen Schutz davor gibt (bis auf den ersten Tipp in obiger Anleitung). Es scheinen jedoch auch die neusten Versionen betroffen zu sein und eventuell auch andere Systeme außer WordPress.
So was ist doch einfach nur ätzend – ich bin zwar nicht betroffen (oder noch nicht), aber da krieg ich eine Wut. Was soll denn son Mist! können sich die Leute nicht ein andere Hobby suchen und rechtschaffende Menschen das tun lassen was sie wollen?
Da ist ja nichtmal beschrieben, was da genau passiert, aber wenn das das Problem ist, bei dem Schadcode in alle Dateien eingeschleust wird die default oder index oder .js enthalten, dann ist das eine alte Methode…. in dem Fall ist nicht nur WordPress betroffen, sondern alle Seiten, ob Eigenentwicklugn oder CMS.
Wie gesagt, die Angreifer haben über eine Attacke im Dezember FTP Daten gesammelt und deren Bots ändern jetzt auf den FTPs alle Dateien ab in deren Dateinamen index, default oder .js vorkommt.
Ich vermute das diese Attacke mit dem Heise Beitrag gemeint ist.
Es sollen auch schon WordPress Systeme infiziert worden sein, die auf dem aktuellen Stand sind. Es bleibt abzuwarten, was die Analysen bezüglich des Angriffsvorgangs zeigen.
In der Regel meldet sich jemand bei mir bei der aktuellen WP-Virus-Welle. Bis jetzt noch keiner (zum Glück). Aber ich würde behaupten, mein AntiVirus Plugin http://wpantivirus.com würde auch diese Malware in WordPress erkennen und melden.
Für mich ein interessante zeitlicher Zusammenhang: Snaqit (keine WordPress Plattform) wird derzeit auch als attackierend gemeldet. Auch hier scheint ein JS eingeschleust worden zu sein.
Bastian, genau. Das wird auch in den aktuellen Malware-Warnungen gesagt, dass nicht nur WordPress betroffen ist, sondern zum Beispiel auch Joomla. Daher ist eine Lücke im System selbst fast ausgeschlossen.
bin kein totaler profi, aber mir wurde gestern erzählt, dass auch typo 3-seiten in letzter zeit häufig angegriffen wurden. gibt’s denn überhaupt einigermaßen sichere systeme? ich vermute mal, wordpress wird – so rasant wie es sich verbreitet – immer stärker in angriff genommen werden…
So wie sich das anhört weiß man ja dann gar nicht ob es sich um ein Sicherheitsleck in den CMS-Systemen selber handelt oder ob hier ftp Daten geklaut wurden. Ich tippe ja eher auf letzteres. Interessant wäre in diesem Falle wie sie an diese gekommen sind. Unsicheres Wlan bei fehlendem ssh ausgenutzt oder Trojaner.