Wordpress-Sites unter Scareware-Beschuss

Christoph · 09.03.2012, 12:25

Zitat:

Bereits mehr 200.000 Web-Seiten auf 30.000 Websites, die mit der Blog-Software Wordpress betrieben werden, sind durch Angriffe kompromittiert worden. Diese Angriffe schleusen Code in die Seiten ein, der Besucher zum Download betrügerischer Sicherheitsprogramme, so genannter Scareware führt.

Das US-Sicherheitsunternehmen Websense berichtet im Blog seiner Security Labs, dass bei den Attacken Javascript-Code in die Seiten eingebaut wird, der Code von fremden Domains ausführt. In einer dreistufigen Weiterleitung werden Besucher auf Scareware-Seiten gelockt, deren Web-Adressen häufig wechseln. Wie im Grunde seit Jahren üblich und bekannt, täuscht eine solche Seite vor, einen Sicherheits-Scan des Rechners auszuführen. Was wie ein Fenster des Windows Explorer unter XP aussieht, ist nur eine Animation im Browser-Fenster.

Dabei werden vorgebliche Schädlingsfunde gemeldet. Damit sollen potenzielle Opfer zum Download der betrügerischen Schutzprogramme gedrängt werden. Die Scareware trägt Fantasienamen wie "Windows Web Security", nervt auf dem PC mit falschen Warnmeldungen und nötigt die Opfer zum Kauf einer ebenso teuren wie nutzlosen Vollversion des falschen Schutzprogramms.

Die Mehrzahl (etwa 85 Prozent) der kompromittierten Websites befindet sich in den USA. Die Besucher kommen hingegen aus allen Teilen der Welt, nur etwa die Hälfte aus den USA. Größere Anteile haben Herkunftsländer wie Kanada (11 Prozent), Brasilien (9,7 Prozent) und die Türkei mit 8,5 Prozent. Deutsche Besucher hat Websense offenbar kaum ausgemacht.

Auf welchem Wege die Täter die Websites infiltrieren gibt Websense nicht an. Die manipulierten Seiten enthalten den eingefügten Code kurz vor dem Ende der Seite, direkt vor dem schließenden BODY-Tag. Hier findet sich ein SCRIPT-Tag mit einer Code-Quelle, die zum Beispiel "rr.nu/mm.php?d=1" enthält. Firefox-Benutzer, die das Add-on Noscript installiert haben, sind vor derart unliebsamen Überraschungen bei der Web-Nutzung recht gut geschützt.

Quelle: http://www.pc-magazin.de/news/wordpr...s-1257864.html

FranzK · 10.03.2012, 00:49

Schlimm.

Aber die wichtigste Information fehlt natürlich wieder: welche Wordpress-Versionen sind davon betroffen?

Inzersdorfer · 10.03.2012, 11:25

Alle nicht aktuellen Versionen, die "Meldung" von Websense sollte eher unter Produktwerbung eingeordnet werden. Eine tatsächliche Lücke gibts in der aktuellen Version, wenn eine noch nicht fertig installierte Version von WordPress auf dem Server liegt, daher sollte die Datei “setup-config.php” im “wp-admin”-Ordner gelöscht werden. http://blog.spiderlabs.com/2012/01/t...wordpress.html

FranzK · 11.03.2012, 00:24

Danke!

10.03.2012, 00:49	#2
FranzK Inventar Registriert seit: 23.03.2000 Ort: Graz Alter: 71 Beiträge: 3.567	Schlimm. Aber die wichtigste Information fehlt natürlich wieder: welche Wordpress-Versionen sind davon betroffen? ____________________________________ Ciao

11.03.2012, 00:24	#4
FranzK Inventar Registriert seit: 23.03.2000 Ort: Graz Alter: 71 Beiträge: 3.567	Danke! ____________________________________ Ciao

10.03.2012, 11:25	#3
Inzersdorfer Veteran Registriert seit: 01.03.2011 Beiträge: 211	Alle nicht aktuellen Versionen, die "Meldung" von Websense sollte eher unter Produktwerbung eingeordnet werden. Eine tatsächliche Lücke gibts in der aktuellen Version, wenn eine noch nicht fertig installierte Version von WordPress auf dem Server liegt, daher sollte die Datei “setup-config.php” im “wp-admin”-Ordner gelöscht werden. http://blog.spiderlabs.com/2012/01/t...wordpress.html

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)