WordPress gehackt – wie ein Shopblog Teil eines Botnetz von Selecta1c wurde

ecommerce security

Hacking von Shop-Software oder Blogs – ein leidiges Thema. Leider aber auch ein häufiges Thema, das wirklich jeden erwischen kann. Gerade Massenhacks von Software sind verhältnismässig einfach durchzuführen. Denn wozu sollte ein Hacker sich die Mühe machen, wenn er auch ein automatisiertes Botnetz zur Intrusion losschicken kann?

Ein Skript oder Botnetz kann dieselbe Arbeit ausführen, die ja bei jeder entsprechenden Software gleich aussieht. Insofern gehen dann von verschiedenen IPs entsprechende Anfragen ein, die z.B. versuchen eine SQL-Injection durchzuführen.
Wenn der Angriff erfolgreich war passiert oft lange Zeit erstmal nichts, vergleichbar mit der Inkubationszeit bei Krankheiten. So fällt auch in der Regel nicht auf, dass Malware installiert und Files manipuliert wurden. Irgendwann später wird der Server dann in das Botnetz einbezogen. Er kann z.B. dazu genutzt werden um massenhaft Spam-Emails via PHP zu versenden. Oder andere Seiten zu hacken. Oder Seiten mit Black Hat-SEO Links zu installieren. Wenn der Angreifer auf dem Server war und WordPress gehackt wurde, hat er in den meisten Fällen Zugriff auf alle Daten. Sowohl Daten auf der Festplatte als auch MySQL. Meist kann er auch auf die access.logs und ftp Logs zugreifen. Und das ist schlecht, da er damit etwa bei einem Online-Shop alle Kundendaten auslesen kann.

Ich beschreibe im Folgenden eine Attacke, die sich aktuell ereignet hat: Folgende Attacke hatte ich auf WordPress. Der Angriff folgte vermutlich mit SQL-Injection auf ein WordPress 3.4.x. Damit verschaffte sich der Angreifer Admin-Rechte für das Backend und konnte anschließend Files auf dem Server installieren. Zunächst wurde am 22.11.2013 ein Fake-Template selecta1c im WordPress /themes verzeichnis installiert und dieses entsprechend eingebunden, dazu wurde die index.php installiert. Im Template-Verzeichnis fanden sich einige normal aussehende Template-Dateien, wie sie in einem WordPress Theme zu finden sind. Dazu gab es einige Datein mit obfuscated Code. PHP erlaubt keine Verschlüsselung des Quellcodes und um das Vorhaben zu verschleiern wurde hier mit eigenem Passwort gearbeitet, mit welchem einige Funktionen aufgerufen werden konnten. Hanzi-Schrifzeichen im Quellcode deuteten in dem Fall auf die Herkunft aus China. Installiert waren u.a. eine Webkonsole mit PHP, mit der nach Belieben im FTP-Verzeichnis navigiert und Files erzeugt werden konnten.
Erst passierte nichts, irgendwann wurde das Fake-Theme scharf geschaltet, welches eigene HMTL-Seiten mit massenhaft Links erzeugte, die einem Verzeichnis namens /db abgelegt wurden und anstelle des eigentlichen Blogs angezeigt wurden. Dann erst fiel der Hack auf, irgendwann meldete sich der Hoster beim Seitenbetreiber. Dokumentiert ist der jetzige Hack nochmals aus Singapore in diesem Blog sowie ein weiterer Bericht im WordPress Forum.

Wie kann ich mich schützen?
1. Der Login-Name „Admin“ geht nicht. Man kann sich nahezu sicher sein, dass jeden Abend ein Bot auf jeder WordPress-Installation durchläuft und eine BruteForce-Attacke auf wp-login.php mit dem Namen „Admin“ ausführt. Also: möglichst kryptische, nicht erratbare Namen und ein sicheres Passwort dazu.

2. WordPress immer aktuell halten. Der Klassiker in der Nutzung verläuft so: ich installiere ein Blog kümmere mich evtl. nicht darum, da ich andere Dinge zu tun habe. Die Software veraltet, entsprechende Sicherheitslücken werden bekannt und dann auch genutzt. Das Netz wird von entsprechenden Bots akribisch durchforstet nach veralteter Software.

3. WordPress auf eigenen Webaccout auslagern. Dieser Punkt wäre ein offener Diskussionspunkt, da hier SEO-Berater u.U. Einspruch erheben werden: Blog auf komplett eigenem Webaccout aufmachen. Das kann SEO-technisch sogar Sinn machen, wenn ich mir Satellitenseiten aufbauen möchte. Ich bekomme damit allerdings meinen eigenen Content auf einer anderen IP, und das kann manchmal nicht gewünscht sein. Sicherheitstechnisch ist das aber auf jeden Fall empfehlenswert, da wenn das Blog gehacked wurde der Shop oder andere Seiten nicht betroffen sind.

Foto: Pedro Miguel Sousa|shutterstock.com

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.