Angreifer haben ein Plugin der beliebten, kostenlosen Blog-Software „WordPress“ manipulieren können und damit mehrere tausend Internetseiten infizieren können. Betroffen ist laut der Sicherheitsfirma Sucuri Security LLC eine ältere Version des Plugins „RevSlider“, das als Teil vieler WordPress-Designs für schicke Bildergalerien zuständig ist. Befallene WordPress-Installationen leiten den Nutzer automatisch auf die russische Seite „Soak Soak“ um.
Dort angekommen, versucht die Seite im Hintergrund, schädliche Software auf dem PC des Nutzers zu installieren. Google hat die Seite bereits in seinen Index gefährlicher Webseiten aufgenommen: Browser, die diesen Index regelmäßig abrufen und prüfen (dazu gehört der Safari-Browser, der kostenlose Firefox und auch Googles eigener Chrome-Browser) warnen den Nutzer beim Betreten der Seite – andere Browser oder ältere Versionen informieren aber nicht unbedingt über die Gefahr.
Der Virus wird oft von den Seitenbetreibern gar nicht rechtzeitig entdeckt wird, da dass anfällige Plugin mit zahlreichen WordPress-Paketen als Bundle mit ausgeliefert, aber gar nicht zwingend selbst eingebaut wurde. Um den Virus jetzt einzudämmen, soll Google 11.000 befallene Webseiten aus dem Suchindex blockiert haben, die vorübergehend nicht mehr in den Google Suchergebnissen angezeigt werden.
Webseiten-Scanner: Ist mein WordPress betroffen?
» Mit diesen Tipps erkennt man verdächtige Dateien auf dem Server
Laut Sucuri Security LLC versucht ein Angreifer automatisch auf die Datei „revicons.eot“ in dem Plugin-Ordner zuzugreifen. Wenn vorhanden, wird über eine Sicherheitslücke in dem Plugin die Konfigurations-Datei des Blogs mit zahlreichen Zugangsdaten heruntergeladen und anschließend eine Backdoor installiert, mit der die Angreifer Zugriff auf den Webserver haben und weitere Malware installieren können. Abschließend wird über die Datei „swfobject.js“ dann die Weiterleitung auf die russischee Malware-Seite „Soak soak“ eingebaut.
Zum Schutz der Seite hilft es aber nicht, nur die betroffenen Dateien zu säubern oder zu entfernen, da mittlerweile Backdoors auch in anderen Ordnern der Webseite installiert worden sein könnten, die sich am besten mit einer Webseiten-Firewall eindämmen lassen sollen.