2010
07.21

Durch eine alte WordPress-Test-Insallation, ist eine Domain/Blog gehackt worden und es wurde schädlicher Code eingefügt, bzw. ein User mit Admin-Rechte erstellt.

Durch die Untersuchung haben wir eine Liste mit Domainnamen und WordPress-Installationen gefunden.

In der Liste sind über 250.000 URL’s mit Domains, welche ein WordPress aufweisen mit den Daten der Version, dem PageRank und anderen Details gespeichert.

Von den Domains sind ungefähr 300 Stück gehackt und weisen einen User auf, welcher Admin-Rechte besitzt. Über diesen User, kann sich der Angreifer auch nach einem Update auf die aktuellste Version 3.x wieder einloggen und schädlichen Code einschleusen oder andere Aktionen als Admin ausführen.

Der Angriff erfolgt über die Datei /wp-admin/theme-editor.php und erfolgte vorher über eine erfolgreiche Registrierung des Nutzer mit dem Namen „Jozephcales“ oder der E-Mailadresse „jozecale8@gmail.com“.

Der User welcher danach mit den Admin-Rechten existiert heißt „NighrRe87“
Die Admins der WordPress-Installationen sollten daher schnellstmöglich die User, die Files und den Webspace prüfen, ob Files modifiziert oder Einträge geändert worden sind.

Zudem sollte die Registrierung von neuen Usern deaktiviert werden, da der Hack nur mit einem registrierten User möglich ist.

-google-ads-
2010
07.02

Statistiken 06-2010

Nach IP-Adressen sortiert:

  1. 767 US
  2. 613  CN
  3. 434  BR
  4. 253  RU
  5. 208  IN
  6. 202  DE
  7. 166   KR
  8. 144   PL
  9. 141   GB
  10. 140   TW

Sortiert nach Anzahl der Angriffe:

  1. 3533 CN
  2. 2578 US
  3. 1940 DE
  4. 1453 IT
  5. 1138  BR
  6. 626   RU
  7. 568   PL
  8. 556   GB
  9. 524   CA
  10. 485   KR
-google-ads-