Am Sonntag, den 11. Januar 2015 haben wir einen enormen Spam-Versand festgestellt, der von einem gehackten Webspace (WordPress) eines Kunden ausging! Das Hacking des Webspaces erfolgte zum Zeitpunkt, wo wir auch andere Attacken festgestellt haben, die sich jetzt als #DDoS ähnliche Attacken, verursacht durch den Majestic-Bot, heraus stellten!

Den Einbruch zurück verfolgt und warum dieser erfolgte:

Der Einbruch wurde ermöglicht entweder aufgrund veralteten Scripte, die durch den Kunden nicht regelmäßig upgedatet wurden! Aber auch fanden wir ein Theme, daß evtl. aus der gleichen Quelle mit schadhaftem Code versetzt ist, denn auch bei einem früheren Fall, wo wir auch explizit vor der Gefahr schädlicher Themes gewarnt hatten, kamen wir bei der Untersuchung auf die gleiche Verkaufsseite des Themes, siehe hierzu unseren Artikel: „Vorsicht: Crypto-PHP – Backdoor im Umlauf“ – Auch haben wir alle Webspace-Kunden via eMail-Nachricht gewarnt, bitte unbedingt Updates durch zu führen! Warum Updates regelmäßig durchgeführt werden müssen, haben wir im Artikel „Updates warum und wie oft“ beschrieben!

Mit beteiligt an der illegalen Versendung von Spam, eine DEUTSCHE IP eines bekannten Rechenzentrums, über die auch der Majestic-Bot sein Unwesen weltweit durchführt:

Es wurde schon im Internet geschrieben, daß ggf. der Majestic-Bot mißbraucht worden ist! Eigenartig finden wir dabei, daß

• Einbruchs-Zeit und Bot-Attacking von dem Majestic-Bot in der gleichen Zeit liegen
• Eine IP des Rechenzentrums, die die vom Hacker eingespielten Schadscripte verwendet hat, aus dem gleichen Rechenzentrum stammt, die auch überwiegend den Majestic-Bot von vielen IPs hostet!
• Beweise fehlen – wir brauchen also Ihre Mithilfe:

Wir helfen Ihnen – und bitten um Rück-Kommentare, woher bei Ihnen die Majestic-Bot-Attacken kommen, ob diese Sie auch nerven und ob Sie auch Einbrüche oder Attacken auf diese gehackten Scripte verzeichnen konnten von IPs aus dem gleichen Rechenzentrum:

MJ12bot – majestic Bot – Hilfe für Administratoren