Schadcode auf WordPress, joomla und Drupal

Trifft genau meine Erfahrung. Gerade in letzter Zeit häufen sich Beschwerden über eingeschleusten Schadcode auf CMSystemen.
Nun dieser Artikel auf heise.de der genau meine Vermutung trifft. Auch ich hatte in letzter Zeit häufig mit eingeschleustem Code auf Webservern zu tun. Ursache war angeblich ein Wurm der auf Windows Systemen gezielt nach FTP Daten sucht und dann auf den Servern JavaScript Dateien manipuliert.
Die Kunden hatten dann zB mit hunderten WordPress  Anmeldungen zu kämpfen. Im schlimmsten Fall meldete Google dann eine infizierte Webseite, was den Kunden überhaupt nicht schmeckte. Der Provider hat dann an der Shell eine Volltextsuche durchgeführt, ich habe den Code dann entfernt und alle waren wieder zufrieden.
Wie bitte? Das soll es gewesen sein ? Ein paar Anmeldungen und ein paar Seiten die nachgeladen werden ?  Wenn man schon Zugriff auf den Server hätte würde ich ihn zum Botroboter machen und ein paar wichtige Shops lahmlegen, eine Erpressung starten und mir das Geld in Bitcoins auf die Staatsbank Ukraina überweisen lassen. Natürlich habe ich niemals eine solche kriminelle Energie und verdiene mein Geld lieber ehrlich.

Im Ernst, wenn man vollen Zugriff auf einen Webserver hat kann man viel mehr damit erreichen. Vor allem ist doch klar, dass irgendwann ein System Alarm schlägt (In diesem Falle Google) und Maßnahmen zu Reinigung getroffen werden. Denkbar wäre eine manipulierte Grafikdatei zB. als "image_left.jpg" tarnen und sie dort auf den Moment X warten lassen. Übrigens genau wie in diesem Fall bei den erwähnten Systemen passiert.
Genau das ist jetzt auf 23.000 Servern vorgekommen. Zugegeben, sich bequem Themes von nicht vertrauenswürdigen Seiten zu holen gehört wirklich bestraft. Bin selbst überhaupt kein Freund von Stangenware.

Interessant in diesem Fall ist, dass Typo3 dieses Problem nicht hat.
Was ist der Unterschied ? Neben vielen anderen Maßnahmen sind Themes nicht üblich, bei Typo3. Extensions und den Core zieht man von der typo3.org Seite und kann wenn gewünscht alles mit Prüfsummen absichern.

Fazit: wer andere für sich denken lässt oder schlicht zu faul zum selbigen ist, darf sich nicht wundern, wenn andere plötzlich das Kommando übernehmen.
Hier geht's zum Artikel auf heise.de