Skip to content

Botnet greift Wordpress- und Joomla-Installationen an

Geschrieben von Carsten Eilers am um 14:09

Zur Zeit greift ein Botnet Wordpress- und Joomla-Installationen an und versucht, über einen Brute-Force-Angriff das Administrator-Passwort zu ermitteln. Was danach passiert, ist nicht ganz klar: Entweder wird auf den erfolgreich angegriffenen Servern ein Exploit-Kit installiert, oder die Server sollen zu einem machtvollen Botnet zusammengefasst werden.

Die Angriffe

Berichte über die Angriffe gibt es zum Beispiel von ...

... Sucuri Security, wo man statt der üblichen durchschnittlich 30-40 Tausend Angriffen pro Tag im April bisher durchschnittlich 77.000 Angriffe pro Tag beobachtet hat, mit Spitzenwerten von über 100.000 Angriffen in den letzten Tagen.

... HostGator, wo man Angriffe von mehr als 90.000 IP-Adressen registriert hat.

... CloudFlare, wo man befürchtet, dass die infizierten WordPress-Installationen zu einem Botnet zusammengefasst werden sollen.

... webhostlist.de, wo man erst über Angriffe auf deutsche Hoster und danach über weltweite Angriffe berichtet hat. Als Ausgangspunkt der Angriffe auf die deutschen Hoster wurden kompromittierte Server gemeldet, während die weltweiten Angriffe von einem Botnet ausgehen.

... Melbourne Server Hosting, wo man Angriffe nicht nur auf WordPress, sondern auch auf Joomla beobachtet hat.

... Brian Krebs, der verschiedene Quellen zusammenfasst und zum Beispiel berichtet, dass laut Daniel Cid, dem Chief Technology Officer von Sucuri Security, in die erfolgreich angegriffenen Wordpress-Installationen Hintertüren und Schadsoftware, darunter das Blackhole Exploit Kit eingeschleust wird. Brian Krebs hat von Daniel Cid auch eine Liste der für den Angriff verwendeten Benutzernamen und Passwörter erhalten und veröffentlicht.

Vor allem die Liste der Benutzernamen ist interessant:

  • Admin (25 Passwörter)
  • aaa (4 Passwörter)
  • adm (6 Passwörter)
  • admin1 (6 Passwörter)
  • admin (1174 Passwörter)
  • administrator (6 Passwörter)
  • chase (1 Passwort - 775besunny)
  • chase@blackrocksolar.org (3 Passwörter)
  • danporras (2 Passwörter)
  • jepser (20 Passwörter)
  • jessica (34 Passwörter)
  • manager (7 Passwörter)
  • qwerty (6 Passwörter)
  • root (4 Passwörter)
  • rose (1 Passwort - rose)
  • support (6 Passwörter)
  • sysadmin (3 Passwörter)
  • test (6 Passwörter)
  • tom (3 Passwörter)
  • user (6 Passwörter)

Außer den "üblichen Verdächtigen" wie vor allem admin und ähnlichem haben die Angreifer es auf einige "normale" Benutzer(namen) abgesehen: chase (und besonders chase@blackrocksolar.org), danporras, jepser, jessica und tom. Entweder haben diese Benutzer die Angreifer mal irgendwie verärgert, oder die Angreifer haben mit diesen Benutzernamen besonders gute Erfahrungen gemacht. Interessant sind auch die dazu gehörenden Passwörter, aber die sehen Sie sich besser selbst an.

WordPress absichern

Den besten Schutz gegen die aktuellen Angriffe bietet ein gutes Passwort. Noch besser ist es, wenn die Angreifer nicht nur das Passwort, sondern auch den Benutzernamen des Admins raten müssen. WordPress-Entwickler Matt Mullenweg schreibt dazu:

"Almost 3 years ago we released a version of WordPress (3.0) that allowed you to pick a custom username on installation, which largely ended people using “admin” as their default username. ...

Here’s what I would recommend: If you still use “admin” as a username on your blog, change it, use a strong password, if you’re on WP.com turn on two-factor authentication, and of course make sure you’re up-to-date on the latest version of WordPress."

Dem ist eigentlich nichts hinzu zu fügen, denn damit verhindert man in der Tat den Großteil der Angriffe. Daher hier als kleine Checkliste:

  • Wenn Sie für den Administrator immer noch den Benutzernamen admin (oder ähnliches, s.o.) verwenden, ändern Sie ihn auf einen nicht so leicht erratbaren Namen.
  • Verwenden Sie den Administrator-Benutzer wirklich nur für die Administration des Blogs. Legen Sie (mindestens) einen weiteren Benutzer mit der Rolle Autor an, und verwenden Sie dieses Konto zum Schreiben von Beiträgen und für Kommentare.
  • Verwenden Sie sichere Passwörter.
  • Halten Sie WordPress und alle Plugins aktuell.
  • Installieren Sie nur die Plugins, die Sie wirklich benötigen. Was automatisch zum nächsten Punkt führt:
  • Löschen Sie alle Plugins, die Sie nicht (mehr) benötigen.

Als zusätzliche Schutzmaßnahme können Sie die Datei wp-login.php mit einem Passwortschutz auf Webserver-Ebene versehen.

Blogger, die WordPress.com verwenden, sollten die vor kurzem eingeführte Zwei-Faktor-Authentifizierung verwenden. Wie Sie die aktivieren, wird in der Dokumentation beschrieben, ein Wizard führt Sie durch die nötigen Schritte.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Authentifizierung: Sichere Passwörter

Vorschau anzeigen
Sichere Passwörter braucht man immer wieder. Wie Sie die erzeugen und sich merken können, erfahren Sie hier. Zuvor geht es aber um die Frage, warum Sie Passwörter nicht für mehrere Dienste nutzen sollten. Kein Recycling f