Seit Wochen gibt es eine Massive Angriffswelle auf WordPress-Seiten. Auch der OV Papenburg hat mit i57.de ein WordPress Content System . Wir haben zwar viele Mechanismen, die eine Kompromittierung verhindern sollen, doch die maßen an anfragen am Server sind dennoch vorhanden. Selbst mit Sperren von ganzen Blöcken Internetadressen (mittlerweile über 3000) werde pro Minute 1000 Anfragen an den Server gesendet. Dies ist auch der Grund , warum die Webseite in den letzten Wochen, öfter mal nicht erreichbar war. Die Anfragen wurden wegen „Überfüllung“ schlicht abgelehnt. Die Administration stellte sich auch recht schwierig da, ohne entsprechende Info, wonach gesucht werden sollte. Am 30.12.16 hat nun die US Regierung bekannt gegeben , das der Urheber und Übeltäter ermittelt wurde und die ersten Maßnahmen ergriffen wurden, diese BOT-Systeme unschädlich zu machen. Seit dem 07.Oktober waren, aus der Ukraine stammende Programmierer, mit einer in PHP geschrieben Malware (P.A.S.3) auf WordPress Server eingedrungen und haben dort schadhafte Programmzeilen in das System gebracht.
Die Kurzfassung der Vorgehensweise ist denkbar einfach. Ein WordPress , welches nicht auf dem Aktuellen Stand ist, wird mit speziellen URL Aufrufen angesprochen und der ADMIN Zugang mit einer Liste von tausenden vorgegebenen Passwörtern bombardiert.
Nach erfolgreichen Zugang im Admin-Bereich Installiert der Angreifer ein PHP Script um damit Vollzugriff auf den Server zu erhalten. Dies ist vergleichbar mit einem „alles ist machbar“ Schlüssel. Dies ist gerade auch auf Servern von Strato, 1&1, PulsServer oder Hetzner (server4you) augenscheinlich zu hunderten passiert, da auch von dort viele Angriffe gekommen sind. Ab hier ist es einfach alles zu machen wie am heimischen Computer. Dann begint die Angriffswelle von neuem , aus dem so gekaperten System.
Viel Arbeit mit Logbuch Auswertungen und Beschwerdeschreiben an die Netzbetreiber der Kompromittierten Systeme der letzten Tage hat aber Erfolg gebracht. Viele Systeme sind schon vom Netz und weitere werden noch folgen.