Angriffe auf Websites, auf denen eine anfällige Version des Dateimanager-Plugins ausgeführt wird

Sicherheitsforscher haben kürzlich eine Sicherheitsanfälligkeit in einem Dateimanager-Plugin gemeldet, was anfangs mehr gefährdete als 700,000 WordPress-Sites. jedoch, in ein paar Tagen, die Anzahl der angegriffenen Standorte erreicht 2.6 Million.

Mehrere Angreifer, die die Sicherheitsanfälligkeit des Dateimanager-Plugins ausnutzen

Laut Wordfence (Trotzig) Forscher, Schuld sind mehrere Bedrohungsakteure für diese Angriffe, Zwei spezifische Bedrohungsakteure sind bei den Exploits am erfolgreichsten. Es scheint, dass diese Angreifer jetzt Kennwort schützen, das anfällige Kopien einer bestimmten Datei schützt, bekannt als connector.minimal.php.

Die aktivsten dieser Angreifer wurden als identifiziert “Bajatax”, Das Unternehmen hat zuvor Anmeldeinformationen von PrestaShop-Websites gestohlen. Zu den von den Forschern entdeckten Kompromissindikatoren gehören einfache Dateien, die die “Bajatax” Zeichenfolge, und Änderungen an der ursprünglichen anfälligen Datei connector.minimal.php. Die letztere Datei soll alle anderen potenziellen Angreifer ausschließen. Die Forscher’ Entdeckungen weisen darauf hin, dass diese Dateien von einigen der aktivsten IP-Adressen verwendet werden, die bei den Angriffen eingesetzt wurden.

Infizierten Websites wird bösartiger Code hinzugefügt. Dieser Code verwendet die API von Telegram, um die Anmeldeinformationen aller Benutzer zu filtern, die sich bei der gefährdeten Site anmelden. In Ergänzung, Der gleiche Code wird auch zur Datei user.php hinzugefügt, bei der es sich um eine WordPress-Kerndatei handelt.

Der zweite Angreifer, der die Sicherheitsanfälligkeit des Dateimanagers mit großem Erfolg ausnutzt, lässt einen bestimmten Infektor fallen, feoidasf4e0_index.php, mit einem MD5-Hash von 6ea6623e8479a65e711124e77aa47e4c, und eine von diesem Infektor eingefügte Hintertür, Wordfence sagt im offiziellen Bericht. Dieser Angreifer schützt auch die Datei connector.mininal.php mit einem Kennwort, um zu versuchen, andere Bedrohungsakteure auszusperren.

Die Forscher skizzieren auch, dass die von diesem zweiten Schauspieler verwendete Hintertür seit vielen Jahren verwendet wird. jedoch, Mehrere Kopien davon können auf eine einzelne infizierte Site verteilt werden, Dies führt zu Persistenz, wenn kein Schutz vorhanden ist.

Außerdem, Sobald die Hintertüren erfolgreich installiert wurden, Der Angreifer nutzt sie sicherlich, um weitere Änderungen an den WordPress-Kerndateien vorzunehmen.

Was sollten Sie tun, wenn Sie eine anfällige Version des Dateimanager-Plugins verwendet haben??

Der beste Sicherheitshinweis ist die Verwendung eines Sicherheitstools zum Scannen Ihrer Website nach Malware. Falls Sie feststellen, dass Ihre Website durch die in diesem Artikel beschriebenen Angriffe gefährdet wurde, Sie sollten in Betracht ziehen, Ihre Website zu bereinigen, bevor Sie etwas anderes tun.

Wenn Sie Eigentümer einer E-Commerce-Website sind, Sie sollten auch alle Ihre Benutzer kontaktieren, Lassen Sie sie wissen, dass ihre Anmeldeinformationen möglicherweise kompromittiert wurden. Sie können die Gesamtsicherheit Ihrer Website auch anhand der Tipps testen, die wir im folgenden Artikel bereitgestellt haben:

Lesen Sie auch So testen Sie die Sicherheit Ihrer WordPress-Site

Schreibe einen Kommentar

Deine Email-Adresse wird nicht veröffentlicht. erforderliche Felder sind markiert *

Das Zeitlimit ist erschöpft. Bitte laden Sie CAPTCHA neu.