Allen Inhabern von WordPress-Webseiten wird dringend empfohlen, das gestern ausgerollte Security-Update zu installieren. Ansonsten drohen Angriffe per JavaScript-Injection.
Wie der Sucuri-Blog schreibt, können ältere WordPress-Versionen von einer so genannten Adverting iFrame-Injection bedroht sein. Dabei wird an alle Dateien mit der Endung .js verschlüsselter Code angehängt. Um sicherzustellen, dass die eigene Webseite nicht betroffen ist, sollten alle entsprechenden Dateien überprüft werden, nachdem das Update auf die derzeit aktuelle Version 4.4.2 durchgeführt wurde.
Die Malware lässt sich an diesen Eigenschaften erkennen:
- 32 Hex Digit Comments am Anfang und am Ende des Schadcodes, z.B.
/*e8def60c62ec31519121bfdb43fa078f*/
. Dieser Code ist für jede infizierte Seite einzigartig. Vermutlich handelt es sich um einen MD5-Hash auf den Domainnamen der betreffenden Seite. - Dem ersten Kommentar folgt unmittelbar der Text
;window[“\x64\x6f….
sowie ein langes Feld von String-Konstanten als Hexadezimalcode. - Am Ende findet sich immer der Code
.join(\”\”);”));
.
Die Malware infiziert nur erstmalige Besucher und setzt ein Cookie mit dem Namen "ad-cookie", das eine Ablaufzeit von 24 Stunden hat.
Das Problem bei dieser Bedorhung besteht darin, dass es zu ständigen Neuinfektionen der Webseite kommen kann, solange nicht alle Webseiten, die sich auf dem Server befinden, auf die aktuelle WordPress-Version aktualisiert wurden:
"The malware tries to infect all accessible .js files. This means that if you host several domains on the same hosting account all of them will be infected via a concept known as cross-site contamination. It’s not enough to clean just one site (e.g. the one you care about) or all but one (e.g. you don’t care about a test or backup site) in such situations – an abandoned site will be the source of the reinfection. In other words, you either need to isolate every sites or clean/update/protect all of them at the same time!"
Die aktuelle WordPress-Version kann hier heruntergeladen werden.