Gefährlicher Blog-Besuch

Hacker haben offensichtlich mehrere Tausend Wordpress-Blogs mit Schadsoftware infiziert. Dabei nutzten die Angreifer eine schon länger bekannte Schwachstelle im PHP-Script TimThumb, aber auch FTP-Zugänge zu Servern, deren Passwörter sie gehackt oder ausspioniert hatten. Die Angreifer schleusen JavaScript-Code in die Wordpress-Site ein, die iFrames in den ausgelieferten Seiten unterbringt. Über die iFrames wird der Benutzer dann zu Servern umgeleitet, die mit dem Blackhole Exploit Kit ausgerüstet sind. Dieses testet Browser und Plugins auf Sicherheitslücken und versucht dann Schadsoftware auf dem PC zu installieren.

Viele Betreiber von Wordpress-Blogs scheinen gar nicht zu wissen, dass sie das verwundbare Script TimThumb auf ihrem Server installiert haben. Das Tool dient zur Größenanpassung von Bildern und ist beispielsweise in einige Wordpress-Themes integriert. Blog-Betreiber sollten die Dateien der Wordpress-Installation durchsuchen, um TimThumb zu finden. Meist heißt die Datei timthumb.php. Sie kann aber auch andere Namen tragen. Im Blog sucuri.net wurde eine derzeit noch unvollständige Auflistung betroffener Themes veröffentlicht. In der Version 2.0 von TimThumb ist die Sicherheitslücke inzwischen behoben. Außerdem sollte jeder Wordpress-Betreiber alle Dateien der Installation auf verdächtigen Code hin überprüfen. Der Schadcode verbirgt sich nach der Avast-Analyse in codierten JS-Dateien.

Besucher von Wordpress-Blogs sind nur in Gefahr, wenn der Browser oder ein Plugin Sicherheitslücken aufweist, die dann über das Blackhole Exploit Kit ausnutzbar sind. Sie sollten daher immer aktuelle Versionen des Browsers benutzen und auch das Betriebssystem stets auf dem aktuellen Stand halten. Welche Plugin-Versionen installiert sind, bekommen Sie über den com!-Sicherheitscheck heraus. Firefox-Nutzer können auch auf www.mozilla.org/de/plugincheck/ gehen, die Plugins überprüfen und bei Bedarf aktualisieren.