{"id":198858,"date":"2017-12-22T10:58:28","date_gmt":"2017-12-22T09:58:28","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=198858"},"modified":"2022-04-05T05:39:49","modified_gmt":"2022-04-05T03:39:49","slug":"massive-krypto-mining-kampagne-gegen-wordpress-site","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/12\/22\/massive-krypto-mining-kampagne-gegen-wordpress-site\/","title":{"rendered":"Massive Krypto-Mining Kampagne gegen WordPress-Sites"},"content":{"rendered":"

\"WP\"Betreiber von WordPress-Webauftritten stehen im Fokus eines massiven Angriffs von Cyber-Kriminellen. Ziel ist es, die Website mit Krypto-Minern zu infizieren.<\/p>\n

<\/p>\n

\"\"Die Kampagne startete wohl letzten Montag und zielte weltweit auf WordPress-Seiten. Die Hacker versuchen \u00fcber einen Brute-Force-Angriff Zugriff auf die Administratorkonten der WordPress-Installation zu erhalten. Gelingt dies, wird ein Monero-Miner auf der kompromittierten Webseite installiert. <\/p>\n

Massiver Brute-Force-Angriff auf WordPress-Sites<\/h2>\n

Aufgefallen ist dies der Sicherheitsfirma WordFence, die ihre Erkenntnisse in diesem Blog-Beitrag<\/a> ver\u00f6ffentlicht haben. Die Einsch\u00e4tzung von Wordfence CEO und Gr\u00fcnder Mark Maunder: <\/p>\n

\n

This is the most aggressive campaign we have seen to date, peaking at over 14 million attacks per hour. The attack campaign was so severe that we had to scale up our logging infrastructure to cope with the volume when it kicked.<\/p>\n<\/blockquote>\n

Das ist (mit 14 Millionen Angriffen pro Stunde) die massivste Kampagne, die WordFence seit Bestehen beobachtet hat. Das Sicherheitsteam musste die Infrastruktur aufstocken, ob die Protokollierung weiter mitlaufen zu lassen.<\/p>\n

Die Brute-Force Anfragen erfolgen von \u00fcber 10.000 unterschiedlichen IP-Addressen und adressieren ca. 190.000 WordPress-Sites pro Stunde. Das Wordfence-Team glaubte zuerst, dass das letzte Leak mit 1,4 Milliarden Nutzerzugangsdaten im Klartext als Repository genutzt werde. Nach weiteren Analysen<\/a> scheinen die Angreifer aber auf eine Kombination von allgemeinen Kennw\u00f6rtern in Kombination mit heuristischen Abwandlungen der Art Domain-Name und Thema der Site mit im Kennwort einzuf\u00fcgen, zusetzen. <\/p>\n

Infizierte Sites sind Miner oder Attacker<\/h2>\n

Gelingt die Infektion einer WordPress-Site, wird ein Monero-Miner sowie Code f\u00fcr weitere Brute-Force-Angriffe installiert. Die Operationen Mining und Attacke werden aber nie gleichzeitig ausgef\u00fchrt. Entweder f\u00e4hrt die WordPress-Sites Angriffe auf andere Sites oder sch\u00fcrft Monero-Krypto-Geld. Die Ganoven haben WordFence zufolge mindestens 100.000 US $ in Krypto-Geld gesch\u00fcrft. Die Analyse der Details gelang, nachdem ein WordFence-Kunde mit einem infizierten Server entdeckt wurde. <\/p>\n

Tipps zur Abwehr<\/h2>\n

Die WordFence-Leute geben in ihrem Beitrag weitere Hinweise zum Thema und verraten auch, wie man diese Attacke unterlaufen kann. So stellt WordFence ein WordPress Firewall-Plugin bereit, welches solche Angriffe erkennt und blockiert. Ich selbst nutze dieses Plugin in meinen Blogs und sehe immer wieder, dass Angriffe auf das admin <\/em>Konto versucht werden. Das ist aber l\u00e4ngst deaktiviert, und ich verwende zus\u00e4tzliche Ans\u00e4tze, um die \u00fcblichen Angriffe auf die Konten des Blogs ins Leere laufen zu lassen. Weitere Details finden sich in diesem Blog-Beitrag<\/a> sowie bei Bleeping-Computer<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

Betreiber von WordPress-Webauftritten stehen im Fokus eines massiven Angriffs von Cyber-Kriminellen. Ziel ist es, die Website mit Krypto-Minern zu infizieren.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,1574],"tags":[4328,4349],"class_list":["post-198858","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-wordpress","tag-sicherheit","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/198858","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=198858"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/198858\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=198858"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=198858"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=198858"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}