Wie die rennomierte Sicherheitsfirma TrendMicro in ihrem Security Intelligence Blog berichtet, greift ein Spam-Botnetz namens Stealrat zurzeit Webseiten an, die unter PHP-basierten Blog- und CMS-Systemen wie z.B. Drupal, Joomla, und WordPress laufen. Dem Vernehmen nach wurden bereits Tausende von Webseiten kompromittiert.
Update
Die Seiten wurden durch TrendMicro inzwischen vom Netz genommen.
Ob eine Webseite befallen ist, lässt sich an folgenden Stellen erkennen:
- Die bösen Skripte verstecken sich in Dateien mit den Namen sm13e.php oder sm14e.php.
Aber Achtung: Die Dateinamen können variieren! Besser ist es, nach PHP-Dateien Ausschau zu halten, die definitiv nicht zur Ausstattung des CMS gehören und die einen merkwürdigen Namen tragen. - Ein sicheres Anzeichen für einen geglückten Angriff ist eine der folgenden Code-Zeilen in einer der PHP-Dateien:
die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321)
die(PHP_OS.chr(49).chr(49).chr(43).md5(0987654321)
Nach eigener Einschätzung werden bereits knapp 19% aller Webseiten von WordPress betrieben – umso wichtiger, dass die Seitenbetreiber ihre Installationen immer mit den aktuellsten Updates versorgen, um unerwünschten Gästen dieser Art Einhalt zu gebieten.