aktuell: Hack-Welle, unter anderem Weiterleitungen auf unseriöse Seiten

Aktuell scheint es eine größere Hack-Welle zu geben: In Seiten, Beiträgen, Produkten und ggf. anderen Post-Types von gehackten Websites befinden sich im Texteditor (nur sichtbar im Text- oder Code-Modus) Scripte, die Weiterleitungen auf (unseriöse) Gewinnspiel-Seiten verursachen.

Update 09.11.2019:

Weiterleitungen finden nicht nur auf unseriöse Gewinnspielseiten statt, sondern auch auf andere fragwürdige Seiten (möglicherweise Scam / Phishing).
Die Schadcodes befinden sich häufig schon länger auf den Websites, feuern offenbar aber erst seit Donnerstag besonders stark, also auffällig. Allerdings meistens nur auf Mobilgeräten, mit einigen Sekunden Verzögerung und nicht zu jeder Tageszeit (vor allem abends und nachts).

Ermöglicht wurden die Hacks scheinbar nicht durch eine Sicherheitslücke in WordPress: Es scheint sich um Datenbank-Hacks zu handeln. Auch Websites, die nicht mit WordPress betrieben werden, sind betroffen, sogar Ad-Server von Vermarktern. Dort gibt es das Problem schon länger (gelegentlich unseriöse Weiterleitungen auf eigentlich seriösen Nachrichtenportalen). Neu scheint das Problem, zumindest in dieser Stärke, auch auf normalen Websites zu sein. Leider werden diese Hacks (noch) nicht von gängigen Security-Plugins erkannt.

Alle uns bekannten Website-Hacks haben dieselbe Script-Source (URL), allerdings teils mit anderen IDs.

Zu dieser Script-Source sind im Web noch nicht viele Informationen zu finden. Google liefert zwar bereits knapp 1.000 Ergebnisse, dabei handelt es sich aber fast ausschließlich um indexierte gehackte Websites mit exakt dieser Source. Generell scheint es noch verhältnismäßig wenig diskutiert zu werden. Mehr dürften wir in den nächsten Tagen erfahren.

Zudem stellen wir momentan eine auffällige Häufung an weiteren Hacks fest, teils leider sogar in Kombination.

Update 11.11.2019:

Zitat von Sucuri, übersetzt:

In dieser Woche haben wir eine neue Welle von Website-Infektionen beobachtet, die sich hauptsächlich auf WordPress- und Magento-Websites auswirken. Wir haben festgestellt, dass Hacker Skripte von scripts.trasnaltemyrecords[.]com in mehrere Dateien und Datenbanktabellen eingefügt haben.

Quelle: https://blog.sucuri.net/2019/11/vulnerable-versions-of-adminer-as-a-universal-infection-vector.html

Laut Sucuri soll eine Sicherheitslücke im Datenbank-Tool Adminer die Ursache sein, wodurch das Auslesen der Konfigurationsdateien von CMS möglich wurde. Damit konnten sich die Hacker Zugriff auf Datenbanken verschaffen, dort Schadcode einfügen, Plugins installieren, Fake-Admins anlegen und Schadcode in Dateien einfügen.

Sucury empfiehlt folgende Schritte:

1. Adminer entfernen
2. das Datenbank-Passwort ändern
3. das Plugin „Super Socialat“ löschen
4. unbekannte WordPress-Administratoren löschen
5. alle Passwörter von Administratoren ändern
6. alle infizierten PHP-, JS- und HTML-Dateien löschen bzw. bereinigen
7. Infektionen in der Datenbank entfernen

Wir betreuen aktuell fünf Fälle (mit der o.g. Script-Source), haben bisher aber noch kein Plugin „Super Socialat“ oder Fake-Admins gesehen. Die Hacks machen einen auffällig chaotischen und individuellen Eindruck. Es ist durchaus denkbar, dass mit den Zugängen gehandelt wurde. Ob immer die Sicherheitslücke in Adminer die Ursache ist, ist nicht abschließend geklärt.

David Damjanovic

David Damjanovic betreibt seit 2004 eigene Websites, arbeitet seit 2006 mit WordPress und hat 2011 die WordPress Agentur wp-agentur gegründet, eine der ersten in D-A-CH.