image

Duizenden gehackte WordPress-sites verspreiden ransomware

zaterdag 22 augustus 2015, 06:48 door Redactie, 23 reacties

De afgelopen weken hebben aanvallers meer dan 2600 unieke WordPress-sites gehackt en voorzien van kwaadaardige code die bezoekers met ransomware probeert te infecteren. De gehackte WordPress-sites draaien allemaal versie 4.2 van de software of ouder, zo meldt beveiligingsbedrijf Zscaler.

De aanval op de WordPress-sites bestaat uit verschillende stappen. Eerst wordt de website volledig overgenomen. Zo voegen de aanvallers een webshell toe en stelen de inloggegevens van de beheerder. Vervolgens wordt er een iframe aan de website toegevoegd die bezoekers van de WordPress-site ongemerkt een pagina met de Neutrino-exploitkit laat laden. De iframe-code wordt alleen aan gebruikers van Internet Explorer getoond. Via een cookie wordt voorkomen dat slachtoffers de iframe-code meerdere keren krijgen aangeboden.

Om gebruikers te infecteren maakt de Neutrino-exploitkit gebruik van een kwaadaardig Flash-bestand. In het geval Flash Player niet op de computer geïnstalleerd is wordt de gebruiker een oud Flash-installatiebestand aangeboden, waarna het kwaadaardige bestand wordt geladen. Hoe het installatiebestand precies wordt aangeboden laat Zscaler in de analyse van de aanval niet weten.

In het geval de aanval succesvol is wordt de CryptoWall-ransomware op de computer geinstalleerd. Deze ransomware versleutelt bestanden op de computer en vraagt gebruikers een bepaald bedrag voor het ontsleutelen. Volgens analist John Mancuso blijft WordPress een aantrekkelijk doelwit voor cybercriminelen. WordPress is een zeer populair gratis contentmanagementsysteem dat door meer dan 60 miljoen websites wordt gebruikt, waaronder zo'n 23% van de Top 10 miljoen websites op internet.

Reacties (23)
22-08-2015, 07:43 door Anoniem
Al jaren lang worden vallen dagelijks tienduizenden kwetsbare CMS systemen in handen van verkeerde personen. Ze verkopen ze door, verhuren ddos, spam diensten, trekken de persoonsgegevens er vanaf om te gebruiken, gebruiken de cpu/opslag resources voor verspreiding van malware of copyrighted materiaal en gebruiken de sites als opstap om andere systemen. En wat is nu het nieuws van dit bericht?
22-08-2015, 09:50 door karma4
Door Anoniem: En wat is nu het nieuws van dit bericht?
Nieuwswaarde met de voorwaarde: het moet nieuw nog niet bekend zijn nee dat is er niet,
Nieuwswaarde met de voorwaarde: de achtergrond van het bericht wordt in het algemeen onvoldoende beseft, Die is er.
https://nl.wikipedia.org/wiki/WordPress https://wordpress.org/about/ Het zijn allemaal open source componenten en alle slechte zaken gebeuren er mee.

Er zijn nog zoveel nerds met een geloof dat open source het zelfde is als goede veilige software code, dat dit "nieuws" nieuwswaarde heeft. Met de kennis van software engineering zou je moeten zien dat er niet een logisch verband is tussen kwaliteit en wie code kan inzien.
22-08-2015, 10:32 door Ron625 - Bijgewerkt: 22-08-2015, 10:33
Wordpress bestaat uit een aantal PHP scripts, deze zijn altijd door iedereen in te zien.
Per definitie "kan" opensource veiliger zijn, omdat iedereen kan en mag controleren, maar wie doet het, wie heeft er tijd voor en wie heeft de kennis?
En dan nog een groot item: velen doen zoals ik en gebruiken alleen open-source software, maar wie gaat het zelf compileren?
Wie kan garanderen, dat de binaire file daadwerkelijk met de openbare source gemaakt is?
Dat is dus een kwestie "van goed vertrouwen" geworden.
22-08-2015, 10:32 door Anoniem
Met de kennis van software engineering zou je moeten zien dat er niet een logisch verband is tussen kwaliteit en wie code kan inzien.[/quote]

Dit is geen argument. Legt het maar eens exact uit voordat je begint te roeptoeteren over nerds en weet ik veel. Kom maar op met die inhoudelijke kennis van software engineering! En anders ; ZWIJG
22-08-2015, 10:33 door Anoniem
Door Anoniem: .... En wat is nu het nieuws van dit bericht?

Het is aan de beheerders van dit forum om te bepalen wat erop komt. Niet erg gepast om je kritiek hier te spuien. Als de 'nieuwswaarde' je niet bevalt dan vertrek je toch gewoon? Of begin je eigen forum.
22-08-2015, 10:55 door Anoniem
18 augustus is versie 4.3 verschenen. In de release noties staan dan de opgeloste problemen. Een kwaadwillende kan deze uitbuiten.
22-08-2015, 10:56 door Anoniem
Door karma4:Nieuwswaarde met de voorwaarde: de achtergrond van het bericht wordt in het algemeen onvoldoende beseft, Die is er.
......
Er zijn nog zoveel nerds met een geloof dat open source het zelfde is als goede veilige software code, dat dit "nieuws" nieuwswaarde heeft.

Aan de andere kant worden de meeste CMS systemen niet gehacked via 0-day lekken maar omdat de eigenaren geen moeite doen om hun software up-to-date te houden. Genoeg gangbare opensource die goed onderhouden worden, je hebt er weinig aan als de eigenaar hun verantwoordelijkheid niet neemt om hun systemen te blijven onderhouden. In het begin enthousiast, na een tijdje geen contentwijzigingen meer en daarna staan de sites te verstoffen met steeds ouder wordende software.
22-08-2015, 10:56 door Anoniem
@Ron625

php scripts zijn -als de beveiliging op orde is- niet door iedereen in te zien. Ze worden geladen door de server en het resultaat van de code krijgt de site bezoeker te zien. Het script zelf dus niet.

@07:43
De nieuwswaarde is duidelijk. Dit is een belangrijk recent WordPress lek en 2600 gehackte sites die malware verspreiden is nieuws.
22-08-2015, 12:21 door [Account Verwijderd] - Bijgewerkt: 22-08-2015, 12:22
[Verwijderd]
22-08-2015, 12:48 door Anoniem
Door Muria:
Door Anoniem: @Ron625

php scripts zijn -als de beveiliging op orde is- niet door iedereen in te zien. Ze worden geladen door de server en het resultaat van de code krijgt de site bezoeker te zien. Het script zelf dus niet.

Hij bedoelt dat Wordpress open source is (met PHP kan je trouwens niet anders - LOL). Als het gaat over het inzien van scripts op de webserver heb je natuurlijk gelijk.

Ack.

Overigens, veel php apps zijn open source, maar niet allemaal. Ze worden soms in gecompileerde/encodeerde vorm geleverd. Criminelen doen dat ook vaak met hun php malware.

Dat het open source is maakt voor de beveiliging weinig uit in de praktijk, het aantal WordPress kwetsbaarheden is een lange lijst, de lijst van in de praktijk misbruikte WP plug-ins is nog veel langer. Het is dat WordPress op zo veel servers staat, dat maakt WordPress zelf een handig doelwit voor massale besmettingen.
22-08-2015, 15:00 door Ron625
Blijkbaar was ik niet duidelijk genoeg.
De scripts zijn gewoon te downloaden en dan in te zien.
Zo weet je dus, hoe e.e.a. is opgebouwd.
Dus niet via de webserver in te zien, maar gewoon door te downloaden........
22-08-2015, 16:00 door Anoniem
Hoe merk je als je wordpress site gehackt is? Ik heb zelf een persoonlijke blog die ik met wordpress heb gemaakt die ik nog moet updaten maar ik wil dus ook geen last krijgen van ransomware. Mijn site is trouwens zeer klein en alleen te vinden met google als je de naam weet.
22-08-2015, 16:14 door karma4
Door Anoniem: Kom maar op met die inhoudelijke kennis van software engineering! En anders ; ZWIJG
Laten we maar beginnen met http://homepages.cs.ncl.ac.uk/brian.randell/NATO/nato1968.PDF SOFTWARE ENGINEERING "Report on a conference sponsored by the NATO SCIENCE COMMITTEE Garmisch, Germany, 7th to 11th October 1968 January" Als je het kunt vertalen naar de modern kretologie zie je hoe goed ze problemen onderkenden en hoe veel ervan nog steeds actueel is.

Wat namen er uit zijn: https://nl.wikipedia.org/wiki/Edsger_Dijkstra Zie zijn EDW’s b.v. http://www.cs.virginia.edu/~evans/cs655/readings/ewd498.html How do we tell truths that might hurt? Zijn invloed was/is zeer groot voor de ICT en aanverwante techniek opleidingen die het hogere niveau hebben.
https://en.wikipedia.org/wiki/CAP_Group http://tomandmaria.com/Tom/Writing/SoftwareCrisis_SofiaDRAFT.pdf De rol van A. d’Agapeyeff, is minder helder maar zeker geen onbeduidend iemand.

Trek je het door naar de huidige tijd dan zie je:
http://www.cs.ru.nl/B.Jacobs/ Radboud oa van http://www.computable.nl/artikel/nieuws/onderwijs/5535276/1277214/volkswagen-wilde-fout-in-chip-in-doofpot-stoppen.html en voor een ander instituutt http://www.cs.vu.nl/~x/knipselkrant.html (Prof Chr Verhoef)

De stijl van dit soort mensen in discussie is geheel anders dan het flaming en afzetten. Het gaat om onderzoek argumentering bewijsvoering en de correctheid van redenering.
22-08-2015, 16:18 door karma4
Door Anoniem: .... maar omdat de eigenaren geen moeite doen om hun software up-to-date te houden. Genoeg gangbare opensource die goed onderhouden worden, je hebt er weinig aan als de eigenaar hun verantwoordelijkheid niet neemt om hun systemen te blijven onderhouden. In het begin enthousiast, na een tijdje geen … wijzigingen meer en daarna .... te verstoffen met steeds ouder wordende software.
Ik heb het eerste stukje en de content aanduiding even weggelaten omdat je uitspraak in zijn algemeenheid correct is.

Pak een willekeurig project en je ziet iedereen enthousiast dat ze de wereld gaan veranderen. De eerste successen worden gebracht als grote wonderen dankzij ..... Gaandeweg versloft dat, de aandacht (budget) gaat naar andere zaken en je ziet iets geheel volgens jouw beschrijving instorten tot een falend storend iets.

Zoiets heeft niets met open source licensering (closed source) of wat dan ook te maken. Het is meer LCM (life cycle management) en de hypes met buzzwords. Veel meer ergerlijke zaken zijn daarbij de verborgen agenda-s en andere doelen dan er genoemd worden. De GAP misalignment business en ICT is een beruchte (met shadow IT).
22-08-2015, 17:12 door janhagel
Het kan niet vaak genoeg gemeld worden dat sites, Wordpress of anders, gehacked worden en dat eigenaren of beheerders maatregelen moeten nemen. Dank voor dit artikel en ga door met jullie goede werk.
22-08-2015, 18:24 door Anoniem
Door Anoniem: Hoe merk je als je wordpress site gehackt is? Ik heb zelf een persoonlijke blog die ik met wordpress heb gemaakt die ik nog moet updaten maar ik wil dus ook geen last krijgen van ransomware. Mijn site is trouwens zeer klein en alleen te vinden met google als je de naam weet.

Dat merk je als er veel verkeer is naar (spam links) of van de site (bots, spam, DDoS), of als je op een blacklist terecht komt. Er zijn blacklists voor verzend ip's, spamlinks en bots.

Doe aan preventie, dat is het belangrijkste:
1. Beveilig je werkstation, vanaf hier kunnen keyloggers ingetypte wachtwoorden stelen.
2. Gebruik SSH2 met key authenticatie, dat maakt het moeilijker om effectief wachtwoorden te stellen. Schakel inloggen met wachtwoord uit en schakel inloggen als root uit (maak eerst een user account aan).
3. Installeer voortdurend de beschikbare beveiligingsupdates op je server en verwijderd software (denk aan php plug-ins) die niet meer wordt onderhouden.
4. Maak geen backups in de www directory. Verwijder software die je niet gebruikt, vergeet niet testinstallaties te verwijderen.
5. Hang geen publiek toegankelijke test servers aan Internet. Die worden vaak niet onderhouden, maar je domein kan er wel mee op een blacklist terecht komen.

Er valt nog veel meer te noemen, maar dit is de basis. Nagaan of een site gehackt is, is kostbaar en werk voor een specialist. Dat wil je niet, doe dus aan preventie.
22-08-2015, 18:51 door Anoniem
Het probleem ligt bij de Bosters en de gebruikers. Hosters verkopen hun hosting en zeggen veel al dat iedereen een eigen website kan draaien met wordpress. Verder ken ik niet veel hosters die hun webservers afspeuren op malware.

Gebruikers hebben in veel gevallen niet de technische kennis om de boel echt veilig te installeren. Veel van hun gebruiken dan ook nog eens een lading plugins. En dan ook nog die ene commerciële plugin, via een minder legale manier gedownload, omdat men er niet voor wil betalen.
22-08-2015, 20:42 door Anoniem
Precies 2600 websites? :)
22-08-2015, 21:06 door [Account Verwijderd] - Bijgewerkt: 22-08-2015, 21:15
[Verwijderd]
22-08-2015, 23:29 door Anoniem
Er wordt hier te makkelijk geconcludeerd dat beheerders de site maar up-to-date moeten houden anders is het hun eigen schuld. Het lijkt me dat in eerste instantie de programmeurs van Wordpress en andere software fatsoenlijke code moeten gaan schrijven voor ze met een release komen.

Ik beheer enkele sites en raak steeds meer tijd kwijt aan updaten. Inclusief backups vooraf omdat nieuwe versies van plugins toch niet goed blijken te werken, ben ik misschien een dag per week hieraan kwijt en het levert per saldo niemand iets op.

Als programmeurs iets meer tijd namen om degelijke code te schrijven en goed te testen, zijn al die herstel en reparatie updates van krakkemikkige software niet nodig en kan ik ook gewoon aan mijn werk.
23-08-2015, 10:34 door Briolet - Bijgewerkt: 23-08-2015, 10:40
Door Anoniem: Mijn site is trouwens zeer klein en alleen te vinden met google als je de naam weet.

Er zijn bots die regelmatig alle IP ranges aflopen en alles indexeren wat daar op staat. (b.v. shodan doet dat). Vervolgens kun je daar een lijst opvragen met alle sites die Wordpress draaien, of een bepaald type printer aan het net hebben hangen.

Dus klein zijn is geen garantie dat je niet bekend bent. Tik op de site https://www.shodan.io maar eens het woord 'wordpress' in. Dat gaat ook via google via een 'inurl:' zoekopdracht, maar shodan gaat verder.
24-08-2015, 08:29 door Anoniem
Door Anoniem:
Door Anoniem: .... En wat is nu het nieuws van dit bericht?

Het is aan de beheerders van dit forum om te bepalen wat erop komt. Niet erg gepast om je kritiek hier te spuien. Als de 'nieuwswaarde' je niet bevalt dan vertrek je toch gewoon? Of begin je eigen forum.
Zo werkt dat dus in jou samenleving?
Klep dicht, geen feedback geven, gewoon alles slikken?
Eng!
24-08-2015, 12:38 door Anoniem
Er zijn zoveel wordpress plugins die iedereen gebruikt maar niemand die een auto update plugin installeerd voor zijn site...
Tja dan moet je ieder dag inloggen om te kijken of er geupdate moet wordenof wachten tot je een keer de sjaak bent...

Plugins die bij mijn standaard draaien na installatie zijn wordfence en een auto update plugin... daarna gaan we eens de site in elkaar flansen :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.