Wordpress: Attackiert schon während der Installation
Noch bevor das System live geht, haben Angreifer es oft unbemerkt mit Hintertüren versehen. Die stehen nämlich schon nach wenigen Minuten auf der Matte.
Bei vielen Internet-Diensten startet man zunächst ein Basis-System mit Standardeinstellungen, das man dann vor dem Live-Gang konfiguriert und einrichtet. Immer öfter attackieren Unbekannte jedoch schon diese Rohversion mit unsicheren Voreinstellungen. Oft dauert es nur wenige Minuten und die Angreifer haben eine Hintertür eingeschleust. Denn die verwenden einen Trick, der ihnen verrät, wo was zu holen ist, berichtet der Sicherheitsforscher Vladimir Smitka.
WordPress ist ein prominentes Beispiel dafür: Man lädt die Basis-Installation auf den Server und startet den Installer auf https://mysite.irgend.wo/wp-admin/setup-config.php
, um gleich ein neues Passwort zu setzen. Doch da kommt man vielleicht schon zu spät. Denn typischerweise hat man kurz zuvor einen neuen Server eingerichtet und für diesen auch ein neues Zertifikat erstellt. Dieser Vorgang wird im öffentlich einsehbaren Protokoll der Certificate Transparency dokumentiert.
Das Zertifikat als Petze
Diverse Angreifer monitoren diese CT-Änderungen und liegen dann schon auf der Lauer, wenn der Eigentümer dort etwas installiert. Dazu warten sie etwa auf das Auftauchen der typischen Wordpress-Installer-URLs. Typischerweise 4 Minuten dauerte es in Smitkas Selbstversuchen, bis die ersten Hintertüren auf dem System waren; ein Angreifer benötigte weniger als 1 Minute. Das als Gegenprobe ohne HTTPS eingerichtete WordPress-System blieb hingegen völlig unbehelligt.
Smitka gelang es, zumindest eine Angreifergruppe bei ihrem Tun zu beobachten. Innerhalb weniger Tage kaperten die über 800 Wordpress-Systeme, deren Eigentümer er direkt benachrichtigte. Doch es ist davon auszugehen, dass dieses Problem noch viel größer ist und tausende WordPress-Systeme auf diesem Weg kompromittiert wurden.
Vorbeugen und checken
Um das zu verhindern, sollte man dafür sorgen, dass das neue System nicht öffentlich zugänglich ist, bevor man die Installation und Einrichtung abgeschlossen hat. Das erreicht man etwa mit einer passenden .htaccess-Datei, die eine Passwort-Abfrage vorschaltet oder wie Smitka vorschlägt, zumindest den Zugriff auf /wp-admin
auf eine IP-Adresse beschränkt.
Web-Hoster können ihre Kunden schützen, indem sie Zugriffe auf /wp-admin/setup-config.php?step=2
ohne Referrer blockieren. Das macht sich die Tatsache zunutze, dass die aktuell massenhaft stattfindenden Angriffe quer in den Installationsprozess einsteigen. Es lässt sich jedoch durch modifizierte Angriffe leicht umgehen.
Das Heimtückische ist, dass die Angreifer das System voll funktionsfähig belassen; viele Admins bekommen es gar nicht mit, dass ihr System bereits eine Hintertür hat. Wer also ein WordPress oder einen anderen Server-Dienst auf dem beschriebenen Weg eingerichtet hat, tut gut daran, sein System sehr sorgfältig nach Hintertüren abzusuchen. Smitka schlägt dafür die Security-Scanner von Wordfence oder Sucuri vor. Wer dabei fündig wird, fängt am besten mit einem neuen, sauberen System von vorn an – diesmal dann besser abgesichert.
(ju)