Meer dan 100.000 WordPress-sites geïnfecteerd met malware

Google heeft 11.000 domeinen ontoegankelijk gemaakt nadat een malwarecampagne 100.000 sites besmette via het WordPress-CMS. Experts hebben kritiek op hoe de fout is aangepakt.

Nieuwe Russische malware heeft sinds dit weekend al zo’n honderdduizend WordPress-sites geïnfecteerd en de bijhorende blogs veranderd in hackwapens. Google heeft al zowat elfduizend domeinnamen geblokkeerd om de schade in te dijken.

De campagne werd ontdekt door het beveiligingsbedrijf Sucuri en Soaksoak genoemd, naar het eerste (Russische) domein waarnaar de malware verwijst. De aanval wordt uitgevoerd via de Revslider-plug-in voor WordPress.

revslider-install-2

Website-eigenaar weet van niks
“Het grootste probleem is dat Revslider een premiumplug-in is die je niet makkelijk kan upgraden en dat is een ramp voor sommige website-eigenaars”, schrijft Daniel Cid van Sucuri op de bedrijfsblog. “Sommigen weten zelfs niet dat ze hierover beschikken, omdat het gebundeld is in hun thema’s.”

Sucuri werd eind september op de hoogte gebracht van een serieuze kwetsbaarheid in de plug-in. Op dat ogenblik deden berichten over de fout al de ronde in bepaalde hackersforums.

“In dit geval heeft de ontwikkelaar van een populaire plug-in besloten om hier niets over te onthullen en in alle stilte alles te patchen”, schreef Cid destijds. “Let wel, deze kwetsbaarheid was al bekend als een zero day (nieuwe kwetsbaarheid waarvoor nog geen remedie bestaat, red.) in ondergrondse fora. Je zou denken dat dat de ontwikkelaar zou aanzetten om sneller te werken en hier mee naar buiten te komen. Maar neen, er werd een andere weg gekozen.”

 wordpress-malware

Zeer serieuze fout
Sinds mei dit jaar heeft Sucuri nog vier kritische kwetsbaarheden gevonden in WordPress-plug-ins, samen goed voor ruim 20 miljoen downloads. Het gaat om WPTouch, Disqus, All-in One SEO Pack en Mailpoet.

“Deze kwetsbaarheden staan bekend als een LFI of Local File Inclusion”, zegt Cid. “De aanvaller is daardoor in staat om lokale bestanden op een server in te kijken, aan te passen en te downloaden. Een zeer serieuze fout dus die eigenlijk onmiddellijk had aangepakt moeten worden.”

Sucuri heeft een gratis online scanner waarmee websitebeheerders hun webstek kunnen testen, maar vreest dat misschien wel honderdduizenden sites al besmet zijn.

Binnen enkele minuten weer besmet
Sommige gebruikers, die de malware opruimen, worden binnen enkele minuten opnieuw geïnfecteerd. Volgens Cid heeft dat veel te maken met de ingenieuze structuur van de payload van de besmetting en met het onvoldoende opschonen van de IT-systemen.

Een firewall kan het potentieel voor een aanval door de malware flink verminderen, aldus nog de veiligheidsexpert

Bron:

Wordt geen gehackte site!

ACM ontdekte het virus door informatie van computerbeveiligingsbureau Fox-IT. De toezichthouder doet momenteel zelf onderzoek naar de zaak. Volgens een zegsvrouw is het mogelijk dat een buitenlandse partij achter het virus zit.

Kies voor het origineel: http://www.antimalwarescan.nl

Wachtwoord van WordPress admin vaak gekraakt met brute-force

De laatste tijd zijn er veel WordPress blogs gehackt en geïnfecteerd met malafide webwinkels of phishing malware. Volgens onderzoeker Sinegubko is het aannemelijk dat het wachtwoord achterhaald wordt door middel  van Brute-force attacks, hierbij wordt de rekenkracht van één of meerdere computers gebruikt om alle mogelijke wachtwoorden te proberen tot de juiste gevonden is.

Nadat het blog gekraakt is wordt er kwaadaardige code geplaatst in een bestaande plugin (bijvoorbeeld Askimet). Daarna worden er één of meerdere nieuwe sub-directories aangemaakt op de server waar de kwaadaardige bestanden worden geplaatst. Als laatste wordt er gezorgd voor een remote-control functie waardoor het geïnfecteerde blog op afstand bediend kan worden en dus worden voorzien van bijvoorbeeld nieuwe webwinkel artikelen.

De kracht van een Brute-force attack ligt in het feit dat het wachtwoord uiteindelijk altijd gekraakt zal worden, de tijd die hiervoor nodig is is afhankelijk van de moeilijkheidsgraad. Door de rekenkracht van meerdere computers en krachtige grafische kaarten te combineren kan de rekentijd aanzienlijk worden verkort. Zelf heb ik de laatste ook enkele geïnfecteerde blogs opgeschoond waarbij phishing en andere kwaadaardige software was geïnstalleerd. Na verwijdering kwam de malware al vrij snel weer terug waardoor ik wist dat er een backdoor of lek was. Na aanpassing van het wachtwoord bleef de malware weg.
Wat kun je hiertegen doen?

Om dit soort Brute-force aanvallen simpel te voorkomen dien je een maximum in te stellen op het aantal inlogpogingen gevolgd door een (tijdelijke) IP blokkade indien dit maximum wordt overschreden. Een enorm simpele maar zeer effectieve plugin hiervoor is Limit Login Attempts

 

Wordt geen gehackte site. Beveilig uw website of webwinkel met een Anti Malware Scan.

Kies voor het origineel: http://www.antimalwarescan.nl

.

Malware herinfecteert WordPress na automatische update

Een onderzoeker heeft meer dan 1.000 gehackte WordPress blogs ontdekt, die zich via de automatische update-functie blijven besmetten. De aanval op de weblogs begon net voordat WordPress 3.3.2 uitkwam.

Veel bloggers gebruiken de automatische update-functie van de blogsoftware om de nieuwste versie te installeren. Eigenaren van een al gehackt blog die naar de nieuwste versie upgraden, halen naast de upgrade ook nieuwe kwaadaardige code binnen. Bij de eerste aanval wijzigden de aanvallers verschillende WordPress-bestanden, zoals update.php en wp-settings.php. In deze PHP-code worden links naar kwaadaardige websites geplaatst, die bezoekers van de WordPress blogs met malware proberen te infecteren. Tijdens het updaten van WordPress worden automatisch nieuwe bestanden gedownload en oude bestanden vervangen. Daarbij wordt ook het aangepaste PHP-bestand vervangen waar de links naar de kwaadaardige websites in staan. Het aangepaste update.php-bestand zorgt er echter voor dat het bijgewerkte blog weer opnieuw wordt geïnfecteerd.

In dit geval infecteert de malware het bestand wp-settings.php & update.php. WordPress zal de automatische update gewoon uitvoeren maar vlak voordat de nieuwe schone bestanden worden geplaatst infecteert de malware de bestanden opnieuw zodat de infectie aanwezig blijft.

Het gaat dus om reeds geïnfecteerde sites en er is geen probleem of bug met de WordPress software zelf.

Hoe kan je dit voorkomen? Wordt geen gehackte site. Beveilig uw website of webwinkel met een Anti Malware Scan.

Kies voor het origineel: http://www.antimalwarescan.nl

Voorkom malware: #update website software

Heel veel website maken tegenwoordig gebruik van een content management system, kortweg CMS. Zorg er voor dat u altijd de meest recente versie van zo’n CMS op uw website of webwinkel heeft staan.

Vooral populaire CMS systemen als Joomla, WordPress, Drupal, PHPbb en Typo3 zijn favoriet bij hackers. Er zijn heel veel servers die deze systemen en CMSsen hebben geïnstalleerd. Er komen updates uit vanwege nieuwe opties en mogelijkheden maar net zo vaak vanwege zogenaamde exploits. Ergens is een fout ontdekt in de broncode die kan zorgen voor malware.

Update uw website software en kies voor een provider die dit automatisch voor u doet of in ieder geval hier u van op de hoogte houd.

Hoe voorkom je dit nu ?

Want als uw website malware bevat en vervolgens wordt geblokkeerd door web browsers en alle zoekmachines kost dit u bezoekers, omzet en een aanzienlijke reputatie schade !

De oplossing:  Beveilig uw website met www.antimalwarescan.nl