Verbreitete Content-Management-Systeme wie Joomla und WordPress werden verstärkt durch zwei große Botnetze angegriffen. Laut dem Suchmaschinenunternehmen Arbor Networks ist bereits seit Mai 2013 eine Kampagne namens "Fort Disco" mit sechs Kommando- und Kontrollservern aktiv. Über 25.000 infizierte Windows-Rechner werden von den Servern gesteuert und für Brute-Force-Attacken auf 6000 Installationen von Joomla, WordPress und der Datalife Engine bis heute genutzt.
Nur weil die Kriminellen öffentlich zugängliche Log-Dateien hinterließen, konnte Arbor einen Einblick in die Kampagne gewinnen. Mindestens vier Varianten von Malware wurden genutzt, um gleichzeitig zwischen 5000 und 10.000 Websites anzugreifen. In fast 800 Fällen gelang es den Hackern, eine PHP-Backdoor auf den kompromittierten Sites zu installieren. Durch diese Hintertür kann das Dateisystem durchsucht und der Upload oder Download von Dateien eingeleitet sowie Befehle auf dem betroffenen Servern auszuführt werden.
Der Arbor-Mitarbeiter Matthew Bing schreibt in einem Blogeintrag, dass schon seit den Brobot-Attacken Anfang 2013 Angreifer sich verstärkt auf Content-Management-Systeme konzentrieren. Durch die Installation einer PHP-Shell auf den kompromittierten Webseiten ist es einem Angreifer möglich, innerhalb von Sekunden Befehle an Tausende Sites gleichzeitig zu verschicken.
Die Hintermänner der aktuellen Kapagne werden von Arbor in einem Staat der ehemaligen Sowjetunion vermutet, weil offenbar überwiegend Websites in Russland und der Ukraine Ziel der Angriffe sind. Außerdem befinden sich alle Kommando- und Kontrollserver in diesen Ländern. Die Angreifer versuchen mit üblichen Benutzernamen wie “admin” oder “administrator” sowie schwachen Passwörtern wie “123456″ schnelle Erfolge zu erzielen.
Auch das US Sicherheitsunternehmen Trend Micro warnte vor kurzem vor Tausenden von kompromittierten Internetseiten, die auf WordPress, Drupal und Joomla basieren und als Teil eines Spam-Botnetzes genutzt werden. Das Unternehmen geht von 195.000 Websites aus, die im Rahmen der Kampagne "Steelrat" kompromittiert wurden.