Vor wenigen Tagen wurde uns bekannt, dass die Website eines Kreisverbands geknackt wurde. Wir Piraten erwarten von Betreibern kritischer Infrastruktur, die Opfer eines erfolgreichen Angriffs wurden, dass sie darüber ausreichend informieren. Also gehen wir natürlich auch selbst mit gutem Beispiel voran.
Am Montag, den 18.08. kurz vor 20 Uhr erhielten wir von AOL einen Abuse-Hinweis, der durch unseren Hoster an uns weitergeleitet wurde. Darin stand, über einen unserer Server wäre Spam verschickt worden. AOL verschickt diese Meldungen vollautomatisiert, sobald ein Benutzer eine Mail in seinem Posteingang als Spam markiert. Da manche Leute ihre Einladungen zu Parteitagen, ihre abonnierten Newsletter oder andere legitime Mails fälschlicherweise als Spam markieren, erhalten wir solche automatisierten Abuse-Hinweise regelmäßig. In diesem Fall war es jedoch wirklich Spam.
Eine Prüfung der angemahnten Mail ergab, dass diese über den Server Stuke3, durch ein dort laufendes PHP-Script, verschickt wurde. Also untersuchten wir die dort laufenden Seiten und fanden schnell die betroffene Seite.
Als ersten Schritt haben wir die Seite komplett deaktiviert, um keine Sicherheitslücken offen zu lassen und weiteren Spamversand zu unterbinden.
Auf dieser lief eine einzelne WordPress-Installation, die leider noch nicht in unsere gemeinsame Multisite-Installation auf Stuke2 umgezogen war. Unsere Multisite-Installation wird von unserem IT-Team auf dem aktuellen Stand gehalten. Bei Einzelinstallationen wie der in diesem Fall kümmern wir uns nur um den Server selbst, die Installation steht unter der Aufsicht der jeweils zuständigen Vorstände.
Diese hatten jedoch leider noch die WordPress-Version 3.7 im Einsatz, weshalb wir davon ausgehen können, dass seit mindestens Dezember 2013 (Release-Datum der Version 3.8) hier keine Updates mehr eingespielt wurden. Das gilt wohl auch für die dort eingespielten Plugins und Themes.
Wir vermuten, dass eine bereits bekannte und in neueren Versionen gefixte Sicherheitslücke im Plugin „Wysija Newsletter“ (mittlerweile bekannt unter dem Namen „MailPoet“) ausgenutzt wurde, um eigene Skripte hochzuladen und bereits vorhandene Skripte der Seite zu verändern.
Die Skripte sind anscheinend durch einen sogenannten „Obfuscator“ gelaufen. Dies sorgt dafür, dass sich der Code nicht mehr problemlos lesen lässt, sondern nur mit viel Aufwand nachvollzogen werden kann, was genau passiert.
Zum jetzigen Zeitpunkt lassen sich aber zwei Ziele des Angriffs klar benennen:
- der Versand von Spam, durch welchen wir auf das Problem aufmerksam wurden
- die Umleitung aller Besucher von mobilen Endgeräten auf eine Pornoseite
Der zweite Punkt war jedoch zu keinem Zeitpunkt aktiv, da hierfür eine Technik genutzt wurde, die auf dem eingesetzten Server nicht funktioniert. Für die Technik-Interessierten: Es wurde eine Rewrite-Regel in einer .htaccess für Apache hinterlegt, jedoch lief hier ein nginx-Server.
Da dies etwas ist, das einem halbwegs versierten Angreifer sofort auffallen würde, gehen wir nicht von einem gezielten Angriff aus, sondern von einer automatisierten Ausnutzung von Sicherheitslücken die auf allen gefundenen WordPress-Installationen ausprobiert wird.
Nach dem aktuellen Stand unserer Überprüfung waren Benutzerdaten (sowohl der Seitenadministratoren als auch der Seitenbesucher) nicht das Ziel des Angriffs, jedoch raten wir den betroffenen Seitenadministratoren zur Sicherheit ihre Passwörter zu ändern, wenn sie das dort genutzte Passwort auch auf anderen Diensten verwenden. Sie wurden von uns per Mail schon darüber informiert.
Ebenfalls gab es wohl keine Beeinträchtigungen der anderen Dienste auf diesem Server.
Sollten wir noch Informationen entdecken, die doch auf einen anderen Schluss hindeuten, werden wir darüber natürlich auch informieren, die Sicherheit unserer Nutzer steht hierbei an erster Stelle.
Folgende weitere Schritte stehen jetzt an:
- Umzug der Website in unsere Multisite-Installation. Vorher wird keine Freischaltung der Seite erfolgen, da die Dateien der Installation an verschiedensten Stellen befallen wurden und wir nicht sicher sein könnten, ob wir eine Stelle übersehen haben.
- Weitere Prüfung des fremden Codes
- Prüfung der anderen Seiten auf dem Server, sowohl darauf ob noch andere veraltete Installationen vorhanden sind, als auch um letzte Sicherheit zu erhalten, dass wirklich keine anderen Dienste betroffen sind.
Für alle Gliederungen mit Einzelinstallationen gilt: Haltet eure Seiten aktuell! Ihr erspart uns und euch damit viel Arbeitszeit und Ärger.