image

Keylogger op duizenden gehackte WordPress-sites actief

donderdag 7 december 2017, 10:39 door Redactie, 11 reacties

Op ruim 5.000 gehackte WordPress-sites hebben onderzoekers een keylogger gevonden die alle invoer op de website naar de aanvallers doorstuurt. Het kan dan gaan om inloggegevens of betaalinformatie, zo waarschuwt securitybedrijf Sucuri.

Onderzoekers van het bedrijf vonden op 5482 gehackte WordPress-sites een keylogger-script dat door de aanvallers was toegevoegd. Alle invoer op invoervelden wordt zo, wanneer de gebruiker het invoerveld verlaat, naar de aanvallers doorgestuurd. In het geval het om een WordPress-site met e-commercefunctionaliteit gaat kunnen zo betaalgegevens worden gestolen, maar ook inloggegevens van gebruikers en beheerders zijn niet veilig.

Hoe de WordPress-sites in kwestie werden gehackt laat Sucuri niet weten, maar vaak gebeurt dit via zwakke wachtwoorden of het gebruik van kwetsbare extensies. In een blogposting legt het beveiligingsbedrijf uit hoe WordPress-beheerders het script kunnen vinden en krijgen verder het advies om in het geval van een gehackte website alle wachtwoorden te wijzigen.

Reacties (11)
07-12-2017, 14:56 door Anoniem
Hoe de WordPress-sites in kwestie werden gehackt laat Sucuri niet weten, maar vaak gebeurt dit via zwakke wachtwoorden of het gebruik van kwetsbare extensies

Ja, ja, probeer de aandacht maar af te leiden van PHP naar 'kwetsbare extensies'.
07-12-2017, 16:58 door Anoniem
Door Anoniem:
Hoe de WordPress-sites in kwestie werden gehackt laat Sucuri niet weten, maar vaak gebeurt dit via zwakke wachtwoorden of het gebruik van kwetsbare extensies

Ja, ja, probeer de aandacht maar af te leiden van PHP naar 'kwetsbare extensies'.

En in plaats van dat jij een fout maakt is het het Nederlands waar je vrouw over struikelt.

Nee hoor. PHP heeft er niets mee te maken.
07-12-2017, 17:26 door Anoniem
Hier krijg je een beter idee wat er werd misbruikt:
-https://www.reverse.it/sample/23118b9873d0ba566f606dcaa27f5c078b2c2f6259e8470ffa71875119897b5d?environmentId=100

chupQTf
08-12-2017, 07:22 door Anoniem
Zelf recentelijk bruteforce aanvallen gespot middels xmlrpc.

Via /wp-json/wp/v2/users/ werden de usernames achterhaald.
Vervolgens POST requests naar /xmlrpc.php met system.multicall met een veelvoud aan methodName wp.getUsersBlogs met een lading wachtwoorden. Deze geeft dan netjes een 200 OK terug, en blijft daarmee fijn onder de radar.

Wordpress geeft helaas aan niets te willen weten over het achterhalen van usernames en bruteforce attacks.
08-12-2017, 12:47 door Anoniem
Door Anoniem:
Door Anoniem:
Hoe de WordPress-sites in kwestie werden gehackt laat Sucuri niet weten, maar vaak gebeurt dit via zwakke wachtwoorden of het gebruik van kwetsbare extensies

Ja, ja, probeer de aandacht maar af te leiden van PHP naar 'kwetsbare extensies'.

En in plaats van dat jij een fout maakt is het het Nederlands waar je vrouw over struikelt.

Wat haal je mijn Nederlandse vrouw erbij? Griezel!

Door Anoniem: Nee hoor. PHP heeft er niets mee te maken.

Nee? Natuurlijk heeft PHP er alles mee te maken! Met een programmeertaal voor kleuters (PHP) geef je zwakke programmeurs - 'code kloppers' met dank aan karma4 - veel te veel vrijheden. Heb je wel eens naar de broncode van Wordpress gekeken? Rotzooi! Geknoei! Amateuristisch gekloot!

Een professionele programmeertaal, zoals Java of desnoods C# .NET, maakt het onmogelijk om basale fouten te maken en door de steilere leercurve filter je meteen de minder intelligente zwakke programmeurs eruit.
08-12-2017, 16:13 door Anoniem

Een professionele programmeertaal, zoals Java.

PROEST!!!!!

Sorry, assembler en C zijn professioneel, Java is een interpeter/vm met heel veel gaten, waardoor het nog steeds lek kan zijn ondanks perfecte code (oké, C code kan ook met een foute compiler gebouwd worden). Machinetaal heeft dit probleem niet en is sneller en kleiner.

Verder heb je helemaal gelijk, huidige programmatuur zit propvol met code die aan de essentie van het programma niets toevoegt. Men leunt teveel op libraries(met veel overbodige code voor een specifiek doel) en begrijpt de security impact op het programma niet omdat men niet meet wat die prut van derden doet.

Conclusie we moeten weer code schrijven die spartaans is en alleen doet waarvoor het gemaakt wordt. Alleen waar vindt je genoeg programmeurs die dit kunnen...
09-12-2017, 17:46 door Anoniem
Door Anoniem:

Een professionele programmeertaal, zoals Java.

PROEST!!!!!

Sorry, assembler en C zijn professioneel, Java is een interpeter/vm met heel veel gaten, waardoor het nog steeds lek kan zijn ondanks perfecte code (oké, C code kan ook met een foute compiler gebouwd worden). Machinetaal heeft dit probleem niet en is sneller en kleiner.

De Java Virtual Machine is anders van een heel hoge kwaliteit! Je moet deze niet verwarren met de Java browserplug-in.

Door Anoniem: Verder heb je helemaal gelijk, huidige programmatuur zit propvol met code die aan de essentie van het programma niets toevoegt. Men leunt teveel op libraries(met veel overbodige code voor een specifiek doel) en begrijpt de security impact op het programma niet omdat men niet meet wat die prut van derden doet.

Conclusie we moeten weer code schrijven die spartaans is en alleen doet waarvoor het gemaakt wordt. Alleen waar vindt je genoeg programmeurs die dit kunnen...

Je kan niet voor elk programmeerprobleem het wiel helemaal opnieuw gaan uitvinden in machinetaal (je bedoelt assembleertaal neem ik aan of wil je rechtstreeks in binary gaan intikken?). Voor problemen in de normale wereld zal je normaliter bouwen op software stacks. Bij het bouwen van een wolkenkrabber begin je toch ook niet met zelf je ijzererts te winnen en zelf staal te maken. En beton, etc.
10-12-2017, 00:52 door Anoniem
Zwakke wachtwoorden, en slechte code hebben niets te maken met PHP.
Tuurlijk de instap is erg laag, want het is eenvoudig te leren
Maar houd niet in dat het een probleem is van PHP, maar nog altijd van de programmeur die het niet afvangt.
10-12-2017, 01:07 door Anoniem
@ anoniem van 8-12-2017 07:22

Zulke requests worden geblokt door een goede FW zoals Sucuri's Website Firewall:
wp-json/wp/v2/users/
Your Browser: bla bla di bla
Block ID: UAT007
[/url] Voorbeeld: -http://bla bla/app/etc/local.xml

Als het allemaal zo gemakkelijk was, bleven de meesten in script kiddie status steken.
11-12-2017, 11:41 door Krakatau - Bijgewerkt: 11-12-2017, 12:21
Door Anoniem: Voor problemen in de normale wereld zal je normaliter bouwen op software stacks. Bij het bouwen van een wolkenkrabber begin je toch ook niet met zelf je ijzererts te winnen en zelf staal te maken. En beton, etc.

Hi hi. Hierin is Java EE natuurlijk het beste staal wat je maar kan gebruiken. PHP? Als je wilt gaan web-programmeren gebruik dan in ieder geval niet het scriptkiddie-taaltje PHP. Als je jezelf graag in de voet wilt schieten ga dan - desnoods - maar C# .NET of zoiets gebruiken.
13-12-2017, 14:50 door Anoniem
Goed met PHP leren programmeren is niet eenvoudig. Het verbaast mij nog altijd wat ik qua slechte code tegenkom in PHP. Als je de taal goed gebruikt is hij zeer krachtig en betrouwbaar. Het probleem met WordPress is de manier waarop het is geschreven. De drempel voor WordPress wordt expliciet laag gehouden zodat iedereen eraan kan werken. Is dit ideaal? Nee, absoluut niet. Maar het biedt op deze manier wel een basis voor een community waar iedereen een aandeel kan leveren. Het brengt alleen wel de nodige issues met zich mee zoals lekke thema's en plugins.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.