Auf dieser Seite: [ausblenden]
Sicherheitsforscher haben kürzlich eine Sicherheitsanfälligkeit in einem Dateimanager-Plugin gemeldet. Was anfangs mehr gefährdete als 700,000 WordPress-Sites. jedoch, in ein paar Tagen, die Anzahl der angegriffenen Standorte erreicht 2.6 Million.
Mehrere Angreifer, die die Sicherheitsanfälligkeit des Dateimanager-Plugins ausnutzen
Laut Wordfence (Trotzig) Forscher, Schuld sind mehrere Bedrohungsakteure für diese Angriffe, Zwei spezifische Bedrohungsakteure sind bei den Exploits am erfolgreichsten. Es scheint, dass diese Angreifer jetzt Kennwort schützen, das anfällige Kopien einer bestimmten Datei schützt, bekannt als connector.minimal.php.
Die aktivsten dieser Angreifer wurden als identifiziert “Bajatax”. Bisher wurden Anmeldeinformationen von PrestaShop-Websites gestohlen. Zu den von den Forschern entdeckten Kompromissindikatoren gehören einfache Dateien, die die “Bajatax” Zeichenfolge. Und Änderungen an den ursprünglichen anfälligen connector.minimal.php-Daten. Die letztere Linie soll alle anderen potenziellen Angreifer ausschließen. Die Forscher’ Entdeckungen weisen darauf hin, dass diese Dateien von einigen der dynamischsten IPs verwendet werden, die bei den Angriffen eingesetzt werden.
Infizierten Websites wird bösartiger Code hinzugefügt. Dieser Code verwendet die Telegram-API, um die Anmeldeinformationen aller Benutzer zu filtern, die sich bei der gefährdeten Site anmelden. Ebenfalls, Das gleiche Prinzip wird dem Ordner user.php hinzugefügt, Das ist eine Kern-WordPress-Datei.
Der zweite Angreifer, der die Sicherheitsanfälligkeit des Dateimanagers mit großem Erfolg ausnutzt, lässt einen bestimmten Infektor fallen, feoidasf4e0_index.php, mit einem MD5-Hash von 6ea6623e8479a65e711124e77aa47e4c. Und eine Hintertür, die von diesem Infektor eingefügt wurde, Wordfence sagt im offiziellen Bericht. Dieser Angreifer ist auch ein Kennwort, das die Datei connector.mininal.php schützt, um zu versuchen, andere Bedrohungsakteure auszusperren.
Die Forscher skizzieren auch, dass die von diesem zweiten Schauspieler verwendete Hintertür seit vielen Jahren verwendet wird. jedoch, Es können mehrere Kopien auf eine einzelne infizierte Site verteilt werden, Dies führt zu Persistenz, wenn kein Schutz vorhanden ist.
Außerdem, Sobald die Hintertüren erfolgreich installiert wurden. Der Angreifer verwendet sie, um weitere Änderungen an den WordPress-Kerndateien vorzunehmen.
Was sollten Sie tun, wenn Sie eine anfällige Version des Dateimanager-Plugins verwendet haben??
Der beste Sicherheitshinweis ist die Verwendung eines Sicherheitstools zum Scannen Ihrer Website nach Malware. Falls Sie feststellen, dass Ihre Website durch die in diesem Artikel beschriebenen Angriffe gefährdet wurde. Sie sollten in Betracht ziehen, Ihre Website zu bereinigen, bevor Sie etwas anderes tun.
Wenn Sie Eigentümer einer E-Commerce-Website sind, Sie sollten auch alle Ihre Benutzer kontaktieren. Lassen Sie sie wissen, dass ihre Anmeldeinformationen möglicherweise kompromittiert wurden. Sie können die Gesamtsicherheit Ihrer Website auch anhand der Tipps testen, die wir im folgenden Artikel bereitgestellt haben:
Lesen Sie auch So testen Sie die Sicherheit Ihrer WordPress-Site