Hacker platzieren Kunsttüren auf Tausenden von Websites mit veralteten WordPress-Plugins

Laut einem Bericht, der letzte Woche von Sucuri veröffentlicht wurde, haben Hacker damit begonnen, ein nicht neues WordPress-Plugin zu verwenden, um implizite Hintertüren auf Websites zu platzieren.

Das fragliche Plugin ist Eval PHP, veröffentlicht von dem Entwickler namens „flashpixx“. Mit diesem Plugin können Benutzer PHP-Code zu Seiten und Beiträgen auf WordPress-Sites hinzufügen und den gewünschten Code auf dem Server ausführen, während Benutzer surfen. Angreifer nutzten dieses Plugin auch, um verschiedene Sicherheitsmaßnahmen zu umgehen und Backdoors auf von ihnen übernommenen WordPress-Sites zu hinterlassen.

Eval PHP, das seit 11 Jahren keine Updates mehr erhalten hat, ist auf mehr als 8.000 Websites installiert. Im September 2022 betrug die Anzahl der Downloads durchschnittlich ein oder zwei und stieg bis zum 30. März 2023 auf 6.988. Es wurde allein am 23. April 2023 2.140 Mal heruntergeladen und hat in den letzten sieben Tagen 23.110 Downloads erreicht.

Sucuri, eine der Tochtergesellschaften von GoDaddy und bekannt für ihre Arbeit im Bereich Cybersicherheit, fand heraus, dass der bösartige Code auf einigen der gehackten Websites zur Tabelle „wp_posts“ in der Datenbank hinzugefügt wurde. Diese Tabelle enthält die Post-, Seiten- und Navigationsmenüinformationen einer typischen WordPress-Site. Eingehende Angriffsanfragen stammen von drei verschiedenen IP-Adressen in Russland. Der Sicherheitsforscher Ben Martin erklärte, dass der Code sehr einfach ist und die Logik funktioniert, wenn er mit der Funktion file_put_contents ein PHP-Dokument im Stammverzeichnis der Website erstellt.

Sucuri hat in den letzten 6 Monaten mehr als 6.000 Beispiele für Backdoors gefunden und bezeichnet das direkte Einfügen verschwenderischer Software in die Datenbank als „neue und andere Entwicklung“.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert