image

Grootschalige aanval infecteert 200.000 webpagina's

dinsdag 6 maart 2012, 14:39 door Redactie, 5 reacties

Aanvallers hebben tienduizenden websites gehackt en voorzien van code die bezoekers met een nep-virusscanner probeert te infecteren. Websense ontdekte de aanval, die het vooral op Wordpress blogs heeft voorzien. Op de websites wordt code geïnjecteerd die bezoekers naar een kwaadaardige website doorstuurt.

Deze website probeert via een pop-up de gebruiker te laten geloven dat zijn computer geïnfecteerd is. Als oplossing moet de gebruiker het aangeboden bestand downloaden en installeren, wat de nep-virusscanner is. Inmiddels zouden zo'n 30.000 websites zijn gehackt en is de code aan 200.000 webpagina's toegevoegd. De meeste getroffen Wordpress blogs zouden zich in de Verenigde Staten bevinden.

Reacties (5)
06-03-2012, 15:06 door SirDice
The majority of targets are Web sites hosted by the WordPress content management system. At the time of writing, more than 200,000 Web pages have been compromised, amounting to close to 30,000 unique Web sites (hosts). The injection hijacks visitors to the compromised sites and rediects them to rogue AV sites that attempt to trick them into downloading and installing a Trojan onto their computer.
Ok, wat misbruiken ze dan precies? Een oude versie van WordPress of een 0-day? Waarom wordt er veel meer aandacht besteed aan de gevolgen (de troep die ze plaatsen) dan aan de oorzaak (hoe hebben ze die website(s) gecompromitteerd)?
06-03-2012, 15:51 door Anoniem
@SirDice: technische diepgang en bespreken van exploit code lijkt hier altijd te ontbreken
06-03-2012, 16:41 door Anoniem
Wordpress barst vd PHP wat default niet goed beveiligd is.


Zou bv wel graag een lijst willen zien van besmette websites. Want ik heb er ook een paar..
06-03-2012, 17:36 door SirDice
Door Anoniem: @SirDice: technische diepgang en bespreken van exploit code lijkt hier altijd te ontbreken
Het ontbreekt ook in het originele artikel. En ik hoef ook niet zo nodig exploit code te zien maar ik zou wel graag willen weten welke fout in Wordpress er misbruikt wordt. Da's wel zo handig, dan weet je tenminste waar je je server op moet controleren.
06-03-2012, 21:05 door nicolaasjan
De URL in de geïnjecteerde code (zie: http://community.websense.com/blogs/securitylabs/archive/2012/03/05/mass-injection-of-wordpress-sites.aspx) leidt naar 194.28.114.103
Dus als de wiedeweerga dit IP blokkeren!
Deze server host meerdere malafide sites. Zie ook: http://blog.sucuri.net/2012/02/malware-campaign-from-rr-nu.html#more-3238
en:
http://www.robtex.com/ip/194.28.114.103.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.