07.21
Durch eine alte WordPress-Test-Insallation, ist eine Domain/Blog gehackt worden und es wurde schädlicher Code eingefügt, bzw. ein User mit Admin-Rechte erstellt.
Durch die Untersuchung haben wir eine Liste mit Domainnamen und WordPress-Installationen gefunden.
In der Liste sind über 250.000 URL’s mit Domains, welche ein WordPress aufweisen mit den Daten der Version, dem PageRank und anderen Details gespeichert.
Von den Domains sind ungefähr 300 Stück gehackt und weisen einen User auf, welcher Admin-Rechte besitzt. Über diesen User, kann sich der Angreifer auch nach einem Update auf die aktuellste Version 3.x wieder einloggen und schädlichen Code einschleusen oder andere Aktionen als Admin ausführen.
Der Angriff erfolgt über die Datei /wp-admin/theme-editor.php und erfolgte vorher über eine erfolgreiche Registrierung des Nutzer mit dem Namen „Jozephcales“ oder der E-Mailadresse „jozecale8@gmail.com“.
Der User welcher danach mit den Admin-Rechten existiert heißt „NighrRe87“
Die Admins der WordPress-Installationen sollten daher schnellstmöglich die User, die Files und den Webspace prüfen, ob Files modifiziert oder Einträge geändert worden sind.
Zudem sollte die Registrierung von neuen Usern deaktiviert werden, da der Hack nur mit einem registrierten User möglich ist.
Unter http://www.sourcesec.com/Lab/wordpress-hacked.html gibt es weitere Informationen zu dem Hack.