Botnetz greift PHP-basierte Webseiten an

Wie die rennomierte Sicherheitsfirma TrendMicro in ihrem Security Intelligence Blog berichtet, greift ein Spam-Botnetz namens Stealrat zurzeit Webseiten an, die unter PHP-basierten Blog- und CMS-Systemen wie z.B. Drupal, Joomla, und WordPress laufen. Dem Vernehmen nach wurden bereits Tausende von Webseiten kompromittiert.

Ob eine Webseite befallen ist, lässt sich an folgenden Stellen erkennen:

  • Die bösen Skripte verstecken sich in Dateien mit den Namen sm13e.php oder sm14e.php.
    Aber Achtung: Die Dateinamen können variieren! Besser ist es, nach PHP-Dateien Ausschau zu halten, die definitiv nicht zur Ausstattung des CMS gehören und die einen merkwürdigen Namen tragen.
  • Ein sicheres Anzeichen für einen geglückten Angriff ist eine der folgenden Code-Zeilen in einer der PHP-Dateien:
    die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321)
    die(PHP_OS.chr(49).chr(49).chr(43).md5(0987654321)

Nach eigener Einschätzung werden bereits knapp 19% aller Webseiten von WordPress betrieben – umso wichtiger, dass die Seitenbetreiber ihre Installationen immer mit den aktuellsten Updates versorgen, um unerwünschten Gästen dieser Art Einhalt zu gebieten.

Leave a Reply

  

  

  

*