Sicherheitsforscher von WordFence haben ein Botnet entdeckt und analysiert, welches WordPress-Seiten gefallen kann. Mutmaßlich könnte ein deutscher Hacker dahinter stecken.
Auch WordPress-Installationen lassen sich von Schadcode infizieren – wobei der Schadcode ein Botnet implementieren kann. Dieses Botnet kann dann dazu genutzt werden, um weitere WordPress-Installationen anzugreifen.
Der Sicherheitsdienstleister WordFence ist jetzt auf ein solches Botnet in WordPress gestoßen, als man Angriffe auf die WordPress Web-Firewall analysierte. Das Botnet kommuniziert per Internet Relay Chat (IRC) mit den Command-Control-Servern. Der Hacker versuchte den Code für das Botnet in WordPress-Installationen zu injizieren. Klappte die Infektion, wurden die C&C-Server per IRC kontaktiert, um neue Instruktionen zu empfangen.
Ziel war es, über das Botnet SEO Spam in WordPress-Blogs zu injizieren oder DDOS-Angriffe auf Webseiten zu fahren. Nachdem das Botnet entdeckt worden war, analysierte das Sicherheitsteam von WordFence den Code des Botnet, versuchte in die C&C-Server einzudringen und die Identität des Betreibers herauszufinden.
Im Code des Botnet waren die IP-Adressen von fünf C&C-Servern (liefen auf kompromittierten Web-Servern) abgelegt – wovon aber nur noch drei aktiv waren. Durch modifizierten Code konnte das Sicherheitsteam die C&C-Server ausforschen und irgendwann den Benutzernamen und das Passwort zum Zugriff abfangen.
Durch Abfragen der Benutzerkonten diverser C&C-Server und der 31 kompromittierten Maschinen entdeckten die Sicherheitsforscher nach und nach weitere Konten des Hackers bei Twitter, bei YouNow und YouTube. Führte dazu, dass auch ein Profil in einem Hackerforum sowie die IP-Adresse des Betreffenden ermittelt werden konnte. Diese ist von der Telekom vergeben.
WordFence hat die Informationen an die US-Strafverfolger weitergegeben und ist zuversichtlich, dass der Betreiber des Botnet über die Informationen sowie die IP-Adresse lokalisiert und identifiziert werden kann. Die technischen Details und Analysen lassen sich im WordFence-Blog nachlesen.