Massive Krypto-Mining Kampagne gegen WordPress-Sites

WPBetreiber von WordPress-Webauftritten stehen im Fokus eines massiven Angriffs von Cyber-Kriminellen. Ziel ist es, die Website mit Krypto-Minern zu infizieren.


Anzeige

Die Kampagne startete wohl letzten Montag und zielte weltweit auf WordPress-Seiten. Die Hacker versuchen über einen Brute-Force-Angriff Zugriff auf die Administratorkonten der WordPress-Installation zu erhalten. Gelingt dies, wird ein Monero-Miner auf der kompromittierten Webseite installiert.

Massiver Brute-Force-Angriff auf WordPress-Sites

Aufgefallen ist dies der Sicherheitsfirma WordFence, die ihre Erkenntnisse in diesem Blog-Beitrag veröffentlicht haben. Die Einschätzung von Wordfence CEO und Gründer Mark Maunder:

This is the most aggressive campaign we have seen to date, peaking at over 14 million attacks per hour. The attack campaign was so severe that we had to scale up our logging infrastructure to cope with the volume when it kicked.

Das ist (mit 14 Millionen Angriffen pro Stunde) die massivste Kampagne, die WordFence seit Bestehen beobachtet hat. Das Sicherheitsteam musste die Infrastruktur aufstocken, ob die Protokollierung weiter mitlaufen zu lassen.

Die Brute-Force Anfragen erfolgen von über 10.000 unterschiedlichen IP-Addressen und adressieren ca. 190.000 WordPress-Sites pro Stunde. Das Wordfence-Team glaubte zuerst, dass das letzte Leak mit 1,4 Milliarden Nutzerzugangsdaten im Klartext als Repository genutzt werde. Nach weiteren Analysen scheinen die Angreifer aber auf eine Kombination von allgemeinen Kennwörtern in Kombination mit heuristischen Abwandlungen der Art Domain-Name und Thema der Site mit im Kennwort einzufügen, zusetzen.

Infizierte Sites sind Miner oder Attacker

Gelingt die Infektion einer WordPress-Site, wird ein Monero-Miner sowie Code für weitere Brute-Force-Angriffe installiert. Die Operationen Mining und Attacke werden aber nie gleichzeitig ausgeführt. Entweder fährt die WordPress-Sites Angriffe auf andere Sites oder schürft Monero-Krypto-Geld. Die Ganoven haben WordFence zufolge mindestens 100.000 US $ in Krypto-Geld geschürft. Die Analyse der Details gelang, nachdem ein WordFence-Kunde mit einem infizierten Server entdeckt wurde.

Tipps zur Abwehr

Die WordFence-Leute geben in ihrem Beitrag weitere Hinweise zum Thema und verraten auch, wie man diese Attacke unterlaufen kann. So stellt WordFence ein WordPress Firewall-Plugin bereit, welches solche Angriffe erkennt und blockiert. Ich selbst nutze dieses Plugin in meinen Blogs und sehe immer wieder, dass Angriffe auf das admin Konto versucht werden. Das ist aber längst deaktiviert, und ich verwende zusätzliche Ansätze, um die üblichen Angriffe auf die Konten des Blogs ins Leere laufen zu lassen. Weitere Details finden sich in diesem Blog-Beitrag sowie bei Bleeping-Computer.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, WordPress abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.