Websites die niet over de laatste versie van WordPress (3.3.1) beschikken vormen een risico voor hun bezoekers. Het probleem doet zich voor bij versies die nog op WordPress 3.2.1 draaien.
De afgelopen tijd zijn honderden websites waar WordPress 3.2.1 op draait het doelwit geworden van hackers. De aanvallers kunnen via een beveiligingslek een html-bestand in de uploadmap van WordPress plaatsen.
Doordat dit het enige is dat de hackers doen, en verder geen andere pagina’s of bestanden infecteren, valt het lek amper op.
Het belangrijkste doel van deze webpagina is het omzeilen van beveiliging, spamfilters en dergelijke.
De hacker verstuurt enorme hoeveelheden spam e-mail waarin hij de lezer vraagt om naar de geïnfecteerde pagina te gaan.
De e-mail is als volgt:
Onderwerp: Need your help!
Bericht:
Hello ! Look, I’ve received an unfamiliar bill, have you ordered anything?
[Here is the bill]
Please reply as soon as possible, because the amount is large and they demand the payment urgently
Door op de link te klikken in deze e-mail gaat de lezer naar de geïnfecteerde pagina. De code van deze html-pagina bevat een verborgen iframe dat een Russiche webpagina opvraagt.
Via dit iframe wordt de Phoenix Exploit Kit geladen.
Deze Phoenix Exploit Kit gaat vervolgens, op basis van de systeeminformatie, op zoek naar andere beveiligingslekken. Hij richt zich voornamelijk op Microsoft Internet Explorer, Adobe PDF, Flash en Oracle Java. Het uiteindelijke doel van de aanval is de verspreiding van een Trojaans paard genaamd Cridex-B. Dit Trojaanse paard probeert informatie te verzamelen. Dit lek kan een hoop nare dingen veroorzaken dus!
Een opvallend detail is dat geen van de gebruikers van Google Chrome slachtoffer is geworden van de infectie met de Phoenix Exploit Kit.
Mijn advies
Voorkom een hoop problemen en zorg dat je WordPress (3.2.1) versie bijgewerkt is naar versie 3.3.1. Dat heeft je tevens nieuwe mogelijkheden in de beheeromgeving.
Bedankt voor de tip! Updaten is altijd belangrijk.