© Alfa Photostudio/Shutterstock.com
Angriffe auf und Schwachstellen in WordPress

Angriffsziel WordPress


Immer wieder gibt es Angriffe auf WordPress-Websites – und oft sind sie erfolgreich. Ist WordPress etwa unsicher? Und wenn ja, wieso? Und wenn nicht, warum sind die Angriffe dann erfolgreich? Und was wollen die Angreifer überhaupt?

Um die Fragen zu beantworten, fangen wir ganz am Anfang an – bei den Angriffen bzw. einigen Beispielen dafür.

August 2017: Ransomware-Angriffe

Im August 2017 haben Entwickler von Wordfence über Angriffe einer „EV ransomware“ genannten Ransom­ware auf WordPress-Websites berichtet [1]. Als Ransomware wird Schadsoftware bezeichnet, die einen Rechner oder Teile davon lahmlegt und erst nach Zahlung eines Lösegelds wieder freigibt. Dabei kann das Lahmlegen z. B. darin bestehen, dass Dateien verschlüsselt werden oder der Zugriff auf den Rechner gesperrt wird. Im Allgemeinen richten sich die Angriffe gegen Windows-Clients, prinzipiell funktioniert dieses Geschäftsmodell aber natürlich mit allen Arten von Rechnern – also auch mit WordPress-Installationen.

Bei der Analyse von an WordPress-Websites gerichteten bösartigem Traffic haben die Wordfence-Entwickler mehrere Versuche beobachtet, Ransomware auf den Server zu installieren. Dabei setzt die Installation der Ransomware voraus, dass der Server bereits kompromittiert wurde. Die installierte Ransomware erlaubt dem Angreifer dann die Ver- und Entschlüsselung aller Dateien bis auf fest vorgegebene Ausnahmen mit einem einzugebenden Schlüssel. Die Startseite der Ransom­ware sehen Sie in Abbildung 1.

eilers_wordpress_1.tif_fmt1.jpgAbb. 1: Der Startbildschirm der Ransomware „EV ransomware“ (aus [1])

Nicht verschlüsselt werden Dateien, die den folgenden Mustern entsprechen:

  • *.php*

  • *.png*

  • *404.php*

  • *.htaccess*

  • *.lndex.php*

  • *DyzW4re.php*

  • *index.php*

  • *.htaDyzW4re*

  • *.lol.php*

Für jedes abgearbeitete Verzeichnis sendet die Ransomware eine E-Mail an eine vorgegebene E-Mail-Adresse, die den Hostname des infizierten Rechners und den verwendeten Schlüssel enthält. Alle Dateien, die verschlüsselt werden, werden nach der Verschlüsselung gelöscht und durch die verschlüsselte Datei, versehen mit der Dateiendung .EV, ersetzt.

Für die Verschlüsselung wird mcrypt verwendet, als Algorithmus Rijndael 128 und als Schlüssel der SHA-2256-Hash des vom Angreifer gewählten Schlüssels. Nach der Verschlüsselung wird der verwendete Initialisierungsvektor IV dem Schlüsseltext vorangestellt und das Ergebnis dann Base-64-codiert in die .EV-Dateien geschrieben.

Jetzt wird es noch fieser ...

Theoretisch könnte man die Dateien wieder entschlüsseln. In de...

Neugierig geworden?

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang