Großangelegter Angriff auf Webseiten

Internet-Spezialisten von Scansafe beobachten einen großen Angriff auf Webseiten verschiedener Provider. Die meisten der betroffenen Seiten arbeiten mit dem Content-Management-System Wordpress, aber nicht alle. Die Fachleute haben zwei verschiedene Arten von Angriffen identifiziert: Die eine Attacke greift beliebte Webseiten an und modifiziert die Titel-Tags so, dass dass Anfragen, die über eine Suchmaschine auf die Seite kommen, auf eine Pharmavertrieb-Seite weitergeleitet werden. Durch diese Manipulation der Suchmaschinenergebnisse sollen die Suchergebnisse für die Pharmaerzeugnisse in die Höhe getrieben werden. Der zweite Angriff, den die Experten beschreiben, zielt darauf, schädliche Software auf die PCs der Besucher zu laden. Einzelne Seiten von kompromittierten Internetauftritten enthalten iFrames, die Inhalte von einer schädlichen Domain laden. 

Wie die Angriffe funktionieren, ist noch nicht endgültig geklärt. Die Fachleute vermuten, dass die Angeifer schlecht konfigurierte Wordpress-Installationen ausnutzen, um die Wordpress-Datenbanken und in der Folge auch PHP-Dateien zu modifizieren. Sie können sich so PHP-Hintertüren einrichten, die sich auch verwenden lassen, wenn der Verantwortliche für die Webseite die Nutzerrechte in seiner Konfiguration richtig setzt.

Der Angriff hat eine große Zahl Provider getroffen, darunter 1&1, Network Solutions, Dreamhost und Media Temple. Network Solutions unterhält unter anderem die Webseite der Münzprägerei der amerikanischen Reigerung. Genauere Informationen über den Angriff finden sich im Scansafe-Blog.