Wie die rennomierte Sicherheitsfirma TrendMicro in ihrem Security Intelligence Blog berichtet, greift ein Spam-Botnetz namens Stealrat zurzeit Webseiten an, die unter PHP-basierten Blog- und CMS-Systemen wie z.B. Drupal, Joomla, und WordPress laufen. Dem Vernehmen nach wurden bereits Tausende von Webseiten kompromittiert.
Ob eine Webseite befallen ist, lässt sich an folgenden Stellen erkennen:
- Die bösen Skripte verstecken sich in Dateien mit den Namen sm13e.php oder sm14e.php.
Aber Achtung: Die Dateinamen können variieren! Besser ist es, nach PHP-Dateien Ausschau zu halten, die definitiv nicht zur Ausstattung des CMS gehören und die einen merkwürdigen Namen tragen. - Ein sicheres Anzeichen für einen geglückten Angriff ist eine der folgenden Code-Zeilen in einer der PHP-Dateien:
die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321)
die(PHP_OS.chr(49).chr(49).chr(43).md5(0987654321)
- Weitere und detailliertere Informationen bietet der TrendMicro Security Intelligence Blog.
Nach eigener Einschätzung werden bereits knapp 19% aller Webseiten von WordPress betrieben – umso wichtiger, dass die Seitenbetreiber ihre Installationen immer mit den aktuellsten Updates versorgen, um unerwünschten Gästen dieser Art Einhalt zu gebieten.