IT-Security

Website Sicherheit: Analysten entdecken Malware im “/.well-known/”-Verzeichnis

4. Juni 2019 von PSW GROUP Redaktion

website-sicherheit
© Rawpixel.com - Adobe Stock

1
(1)

Analysten vom IT-Sicherheitsunternehmen ZScaler entdeckten, dass von Kriminellen das Verzeichnis „/.well-known/“ gerne genutzt wird, um Malware zu verstecken. In einem Blogbeitrag fassten die Analysten ihre Erkenntnisse zur Website Sicherheit zusammen.

Das „/.well-known/”-Verzeichnis

Als Präfix von sogenannten „well-known URIs“ verweisen solche Verzeichnisse in aller Regel auf Informationen über den Host. Sie lassen sich via Web abfragen. Wird etwa ein SSL-Zertifikat über ACME (Automatic Certificate Management Environment) bestellt, werden die Unterverzeichnisse „/.well-known/acme-challenge/“ oder auch „./well-known/pki-validation“ genutzt.

Um beweisen zu können, dass sie Inhaber der Domain sind, platzieren Admins in einem dieser beiden Verzeichnisse eine Prüfdatei. Die Zertifizierungsstelle kann diese Datei zum Verifizieren der Inhaberschaft von dort abrufen.

Website gehackt – Malware und Phishing an Bord

Das Verzeichnis „./well-known/“ einschließlich aller Unterverzeichnisse eignet sich deshalb so gut als Versteck für Malware, weil Admins so selten hineinschauen. Hinzu kommt, dass das Verzeichnis versteckt ist und somit nicht angezeigt wird.

Wie ZScaler in seinem Blogbeitrag erklärt, wurden mehrere hunderte WordPress- sowie Joomla-Seiten entdeckt, die betroffen sind. Sie können Ransomware oder Malware beinhalten oder aber auf verschiedene Phishing-Sites umleiten. WordPress-Phishing ist nichts Neues – jüngst berichteten wir.

Da das Verzeichnis so gut versteckt ist, wird die Lebensdauer der bösartigen Inhalte deutlich verlängert. Stieß ZScaler auf Phishing-Sites, ahmten diese verschiedene Erscheinungsbilder nach, etwa das von Dropbox, Yahoo, DHL oder der Bank of America.

Website Sicherheit – Ist auch Ihre Website gehackt worden?

Gerade Schwachstellen, die durch veraltete Plugins, Themen oder Erweiterungen entstehen, sind Einfallstor für die Cyberkriminellen. Auch veraltete Joomla- und WordPress-Versionen sind gefährdet – insbesondere beim Verwenden von SSL-Zertifikaten mit ACME. Die ZScaler-Forscher haben entdeckt, dass kompromittierte WordPress-Seiten vorwiegend die Versionen 4.8.9 bis 5.1.1 verwenden.

Unentdeckt, obwohl Admins ihre Website prüfen

Wenngleich Admins ihre Website auch regelmäßig prüfen: Das Verzeichnis „/.well-known/“ gerät leider häufig in Vergessenheit. Nutzt man den Kommandozeilenbefehl ls (list), womit sich Dateien auflisten lassen, wird das Verzeichnis nicht dargestellt – ironischerweise ist es aus Sicherheitsgründen versteckt. Kein Wunder also, dass der Website Hack oft unbemerkt bleibt.

So können Sie die Sicherheitslücke schließen

Es ist gar nicht so schwer, die Site zu schützen. Wenn Sie eine Website betreiben und SSL-Zertifikate mit ACME verwenden, können Sie das Verzeichnis „/.well-known/“ einschließlich aller Unterverzeichnisse in Ihre Sicherheitsüberprüfungen einbeziehen. Werfen Sie unbedingt auch einen Blick in „/.well-known/acme-challenge/“ sowie in „/.well-known/pki-validation/“. Hier sollten sich ausschließlich die Zertifikatsdateien befinden. Haben Sie das Verzeichnis regelmäßig im Blick, können Sie Ihre Website effektiv vor Hackern schützen und die Website-Sicherheit erhöhen.

Wie hat Ihnen dieser Artikel gefallen?

Average rating 1 / 5. Vote count: 1



0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu