Eval PHP

Hacker nutzen altes Wordpress-Plugin aus

Uhr
von Maximilian Schenner und tme

Bedrohungsakteure nutzen das veraltete Wordpress-Plugin Eval PHP aus. Damit injizieren sie Schadcode und platzieren Hintertüren auf Websites. Die Codes sind nur schwer erkennbar.

(Source: StockSnap / pixabay.com)
(Source: StockSnap / pixabay.com)

Cyberkriminelle nutzen neuerdings das Wordpress-Plugin Eval PHP aus, um Websites zu kompromittieren, wie "Bleepingcomputer" berichtet. Dabei handle es sich um ein legitimes, aber veraltetes Plugin für Wordpress-Webseiten. Es diene Administratoren dazu, PHP-Code in die Seiten und Beiträge ihrer Websites einzubetten, der ausgeführt wird, wenn die Seite im Browser geöffnet wird.

Das Plugin wurde in den letzten zehn Jahren nicht mehr aktualisiert und gilt als "Abandonware", wie es weiter heisst, ist aber noch über die Wordpress-Plugin-Bibliothek verfügbar. Im April habe die Verwendung des Plugins zur Einbettung von Schadcode ungewöhnlich stark zugenommen, schreibt "Bleepingcomputer" unter Berufung auf das Security-Unternehmen Sucuri. Inzwischen weise Eval PHP durchschnittlich 4000 bösartige Installationen pro Tag auf.

Im Gegensatz zu herkömmlichen Backdoor-Injektionen könne Eval PHP wiederverwendet werden, um bereinigte Websites erneut zu infizieren. Der Punkt der Kompromittierung bleibe dabei relativ verborgen. PHP-Code-Injektionen liefern laut "Bleeping" eine zuvor dokumentierte Nutzlast, die den Angreifern Möglichkeiten zur Remote-Code-Ausführung auf der kompromittierten Website gibt.

Der bösartige Code werde in die Datenbanken der angegriffenen Websites injiziert, insbesondere in die Tabelle "wp_posts". Dies erschwere seine Entdeckung, da der Code standardmässige Website-Sicherheitsmassnahmen umgehe. 

Die Bedrohungsakteure sollen ein kompromittiertes oder neu erstelltes Admin-Konto verwenden um Eval PHP zu installieren. Damit fügen sie schliesslich über [evalphp]-Shortcodes PHP-Code ein. Wird der Code ausgeführt, legt er die Backdoor (3e9c0ca6bbe9.php) im Stammverzeichnis der Website ab. Der Name der Hintertür kann bei verschiedenen Angriffen unterschiedlich sein.

Die bösartigen Eval-PHP-Plugin-Installationen werden laut "Bleeping" von den folgenden IP-Adressen ausgelöst:

  • 91.193.43.151
  • 79.137.206.177
  • 212.113.119.6

Sucuri hält Website-Admins an, alte und nicht gewartete Plugins zu entfernen, die von Bedrohungsakteuren leicht für bösartige Zwecke missbraucht werden können. Eval PHP sei nicht der einzige derartige Risikofall. Bis die Verantwortlichen entsprechende Massnahmen ergreifen, sollten Seiteninhaber ausserdem ihre Admin-Panels sichern ihre Wordpress-Installation auf dem neuesten Stand halten und eine Web Application Firewall zu installieren.

Übrigens: Über einen Trojaner namens "Bumblebee" versuchen Cyberkriminelle aktuell, Firmennetzwerke anzugreifen. Die schädliche Hummel verbreiten sie unter anderem über Google-Werbeanzeigen. Hier lesen Sie mehr dazu.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
cUyRGaAu