{"id":7008,"date":"2019-06-04T14:18:45","date_gmt":"2019-06-04T12:18:45","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=7008"},"modified":"2026-01-16T10:00:44","modified_gmt":"2026-01-16T09:00:44","slug":"website-sicherheit-analysten-entdecken-malware-im-well-known-verzeichnis","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/website-sicherheit-analysten-entdecken-malware-im-well-known-verzeichnis\/","title":{"rendered":"Website Sicherheit: Analysten entdecken Malware im \u201c\/.well-known\/\u201d-Verzeichnis"},"content":{"rendered":"

Analysten vom IT-Sicherheitsunternehmen ZScaler entdeckten, dass von Kriminellen das Verzeichnis \u201e\/.well-known\/\u201c gerne genutzt wird, um Malware zu verstecken. In einem Blogbeitrag<\/a> fassten die Analysten ihre Erkenntnisse zur Website Sicherheit zusammen.<\/p>\n

Das \u201e\/.well-known\/\u201d-Verzeichnis<\/h2>\n

Als Pr\u00e4fix von sogenannten \u201ewell-known URIs<\/a>\u201c verweisen solche Verzeichnisse in aller Regel auf Informationen \u00fcber den Host. Sie lassen sich via Web abfragen. Wird etwa ein SSL-Zertifikat<\/a> \u00fcber ACME (Automatic Certificate Management Environment<\/a>) bestellt, werden die Unterverzeichnisse \u201e\/.well-known\/acme-challenge\/\u201c oder auch \u201e.\/well-known\/pki-validation\u201c genutzt.<\/p>\n

Um beweisen zu k\u00f6nnen, dass sie Inhaber der Domain sind, platzieren Admins in einem dieser beiden Verzeichnisse eine Pr\u00fcfdatei. Die Zertifizierungsstelle kann diese Datei zum Verifizieren der Inhaberschaft von dort abrufen.<\/p>\n

Website gehackt \u2013 Malware und Phishing an Bord<\/h3>\n

Das Verzeichnis \u201e.\/well-known\/\u201c einschlie\u00dflich aller Unterverzeichnisse eignet sich deshalb so gut als Versteck f\u00fcr Malware, weil Admins so selten hineinschauen. Hinzu kommt, dass das Verzeichnis versteckt ist und somit nicht angezeigt wird.<\/p>\n

Wie ZScaler in seinem Blogbeitrag erkl\u00e4rt, wurden mehrere hunderte WordPress- sowie Joomla-Seiten entdeckt, die betroffen sind. Sie k\u00f6nnen Ransomware oder Malware beinhalten oder aber auf verschiedene Phishing-Sites umleiten. WordPress-Phishing ist nichts Neues – j\u00fcngst berichteten wir<\/a>.<\/p>\n

Da das Verzeichnis so gut versteckt ist, wird die Lebensdauer der b\u00f6sartigen Inhalte deutlich verl\u00e4ngert. Stie\u00df ZScaler auf Phishing-Sites, ahmten diese verschiedene Erscheinungsbilder nach, etwa das von Dropbox, Yahoo, DHL oder der Bank of America.<\/p>\n

Website Sicherheit \u2013 Ist auch Ihre Website gehackt worden?<\/h3>\n

Gerade Schwachstellen, die durch veraltete Plugins, Themen oder Erweiterungen entstehen, sind Einfallstor f\u00fcr die Cyberkriminellen. Auch veraltete Joomla- und WordPress-Versionen sind gef\u00e4hrdet \u2013 insbesondere beim Verwenden von SSL-Zertifikaten mit ACME. Die ZScaler-Forscher haben entdeckt, dass kompromittierte WordPress-Seiten vorwiegend die Versionen 4.8.9 bis 5.1.1 verwenden.<\/p>\n

Unentdeckt, obwohl Admins ihre Website pr\u00fcfen<\/h3>\n

Wenngleich Admins ihre Website auch regelm\u00e4\u00dfig pr\u00fcfen: Das Verzeichnis \u201e\/.well-known\/\u201c ger\u00e4t leider h\u00e4ufig in Vergessenheit. Nutzt man den Kommandozeilenbefehl ls (list), womit sich Dateien auflisten lassen, wird das Verzeichnis nicht dargestellt – ironischerweise ist es aus Sicherheitsgr\u00fcnden versteckt. Kein Wunder also, dass der Website Hack oft unbemerkt bleibt.<\/p>\n

So k\u00f6nnen Sie die Sicherheitsl\u00fccke schlie\u00dfen<\/h2>\n

Es ist gar nicht so schwer, die Site zu sch\u00fctzen. Wenn Sie eine Website betreiben und SSL-Zertifikate mit ACME verwenden, k\u00f6nnen Sie das Verzeichnis \u201e\/.well-known\/\u201c einschlie\u00dflich aller Unterverzeichnisse in Ihre Sicherheits\u00fcberpr\u00fcfungen einbeziehen. Werfen Sie unbedingt auch einen Blick in \u201e\/.well-known\/acme-challenge\/\u201c sowie in \u201e\/.well-known\/pki-validation\/\u201c. Hier sollten sich ausschlie\u00dflich die Zertifikatsdateien befinden. Haben Sie das Verzeichnis regelm\u00e4\u00dfig im Blick, k\u00f6nnen Sie Ihre Website effektiv vor Hackern sch\u00fctzen und die Website-Sicherheit erh\u00f6hen.<\/p>\n