5.4: Seite vor Kompromittierung vollständig durchaktualisiert - WordPress oder Plugin 0-day?

Guten Tag werte WPDE-Mitglieder,

generell ist es nicht meine Art zu solchen Anliegen um Hilfe zu fragen, da ich in meiner Vergangenheit gewiss über tausend gehackte WordPress-Instanzen gesehen und viele davon auch selber wieder auf die Beine gebracht habe. Am morgen des 15. April bemerkte ich bei einer WordPress-Instanz ein merkwürdiges Verhalten, kompromittierte DB und Daten, Umleitungen zu Scam-Webseiten, das Übliche. Das Schlagwort "stivenfernando" gepaart mit "wordpress" kann euch über die Form der Kompromittierung mittels Google aufklären.

Zunächst habe ich also ein Backup auf seine Konsistenz geprüft, WordPress, Plugins und Theme auf Aktualität geprüft und eingespielt. Hierbei fiel mir bereits auf, dass die gesamte Installation vollständig up-to-date war. Eine Komprimittierung mittels veraltetem Plugin kann ich also eigentlich ausschließen. Lediglich die PHP-Basis war noch 7.1.33, welches ich in diesem Zuge direkt auf 7.4.4 hochzog.

Zu diesem Zeitpunkt hatte ich in diversen Themen im wordpress.org Forum bereits versucht mit anderen Personen abzugleichen, welche Plugins als Einfallstor infrage kommen könnten. Überschneidungen gab es eigentlich nur bei:

• cookie-notice
• classic-editor
• duplicator

Diese Plugins deaktivierte ich also bereits vorab. Leider war die wordpress.org Forenadministration hier sehr schnell daran, alle Threads, die auf dieses Problem hinwiesen, frühzeitig zu entfernen (derzeit höchstens im Google-Cache zu finden, auf Anfrage habe ich einige Screenshots erstellt). Im Endeffekt wurde ich für meine Hilfe gegenüber Personen, die dieses Problem ebenfalls hatte, dann kurzerhand aus dem Forum verbannt.

Da ich die WordPress-Installationen u. a. mittels git-Versionskontrolle wegsichere, konnte ich hier auch sehr bequem unvermittelte Änderungen auf den Datendateien monitorieren. Bis zum Abend des 16. April war dann Ruhe, die Seite wurde trotz vollständiger Reinigung erneut auf die gleiche Weise komprimittiert. Diesmal hatte ich jedoch genug Zeit um die Accesslogs für weitere Analysezwecke wegzusichern:

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

Dies waren die ersten Requests mit denen die WordPress-Installation erneut komprimittiert wurde. Für mich scheint es hier so, als wäre der Einbruch mit einer sauberen Authentifizierung gegen das Dashboard erfolgt?

Die User-Accounts wurden vorerst minimiert, Zugangsdaten prophylaktisch geändert und Salts regeneriert. Seit der Änderung sehe ich immer mal vereinzelte Login-Versuche auf das Dashboard, welche meiner Meinung nach jedoch als Grundrauschen zu klassifizieren sind.

Seht ihr bei verwalteten und/oder eigenen WordPress-basierten Seiten ähnliche Symptome?

Derzeit beobachte ich die betroffene WordPress-Instanz weiterhin und kann gerne weitere Informationen liefern.

Freue mich auf eine rege, aber geordnete und freundliche Diskussion!

 

Nach der letzten Bereinigungsrunde ist das Problem nicht erneut aufgetreten. Es muss wohl mit einem der Useraccounts zu tun gehabt haben, über deren Loginverhalten und Quellsysteme ich keine direkte Kontrolle habe.

Nach Info an alle Beteiligten mit erneuter Zugangsdaten-Änderung hat sich das Problem nun also erübrigt und die Seite ist wieder vollständig sauber.

Danke für die Vorschläge!