WP Product Review Lite: XSS (Umleitung) trotz Update vorhanden

Hallo Leute,

ich benötige eure Hilfe, bevor ich Wordpress komplett neu aufsetze. Ich habe das Plugin "WP Product Review Lite" für meinen Blog verwendet, der dadurch infiziert wurde. Hier einmal ein kleiner Artikel dazu:
https://securityaffairs.co/wordpress/103369/breaking-news/wp-product-review-lite-xss.html

Folgender Fehler passiert:
1) Die Seite wird nach einer kurzen Ladezeit auf Malware-Seiten weitergeleitet, ein Fremdzugriff wie im Artikel zu lesen gab es nicht. Es wurde kein User erstellt und die Seite wurde nicht übernommen.
2) Es passiert nur dann, wenn das Plugin aktiviert ist, sonst nicht. Auch dann, wenn das neueste Update installiert ist. Laut Entwickler soll damit das Problem gelöst sein.

Folgendes habe ich getan:
1) Sofort (damals schon) das Update gefahren. Gleicher Fehler, somit komplett alles gelöscht (Plugin, Ordner, restliche Dateien auf dem Webspace und Datenbankeinträge). Auf neues Update gewartet, selbiger Fehler.

Meine Fehlerbehebung:
1) Wordpress auf einen frischen Webspace aufgesetzt, selbiges Theme genommen, Plugin installiert = nichts passiert.
2) Noch einmal alle Plugins installiert, die ich schon auf den infizierten Blog nutze. Nichts passiert (wer weiß, ob sich das Script woanders befindet).

Bin kein XSS-Experte aber irgendwo muss ich ein Script in einer PHP-Datei befinden, welches durch das Plugin ausgelöst wird.

Ich habe die gängigsten PHP-Dateien nachgeprüft und finde nichts Auffälliges.

Eventuell hat einer von euch einen Tipp und kann mir sagen, nach wie ich die Suche in den Dateien verfeinern kann.

Vielen Dank und liebe Grüße

 

Hi Leute,

vielen Dank für eure sehr gute Hilfe. Ich habe die halbe Nacht meinen Webspace sowie Datenbank gecheckt, keine Fehler gefunden.

Dann kam ich auf eine neue Idee:
Ich habe einfach mal eine Sicherung des infizierten Blogs via Datenexport und XML gemacht, um die XML Datei zu prüfen. Aus meiner Sicht nichts Auffälliges.

Jetzt kommt das große ABER!
Ich habe die Daten im erneut frisch aufgesetzten Blog via Datenexport häppchenweise eingepflegt.
Blogger Import (Kommentare, Bilder, Schlagwörter) = Kein Fehler
Kategorien und Tags-Konverter = Kein Fehler
RSS = Kein Fehler
Wordpress (Beiträge, Seiten, Kommentare) = Fehler

Also bin ich alle Artikel durchgegangen und habe sie nach und nach gelöscht - bis ich einen Artikel gefunden, der die Weiterleitung auslöst.

Sobald ich den Artikel auf 2016 datiere (er stammt von 2020) und wieder korrekt datiere, verschwindet der Fehler.

Also habe ich den gesamten Artikel gelöscht und einzeln via XML-Import eingepflegt = Der Fehler erscheint erneut.

Schritt 2:
Ich habe anschließend die Kategorien einzeln geöffnet, in der dieser besagte Artikel erscheint. Der Fehler erscheint nur in der Kategorie, in der sich der besagte Artikel befindet. Andere Kategorien sind nicht betroffen.

Kurioserweise aber nur, wenn der besagte Artikel auf der Seite auch als anklickbare Überschrift sichtbar ist. Sobald ich auf Seite 2 derselben Kategorie schaue, verschwindet der Fehler.

Heißt also: Die Weiterleitung findet ausschließlich nur dann statt, wenn der besagte Artikel auf der Seite gelistet ist, die man auch besucht. Völlig unabhängig davon, ob man genau den Artikel liest oder die entsprechende Hauptseite oder Kategorie offen hat, in der sich der Artikel befindet.

Ausschussverfahren zur Eingrenzung und Zusammenfassung:
1) Nur in Zusammenhang mit dem Plugin.
1a) Es funktioniert wie folgt: Am Ende des Artikels gibt das Plugin seine Funktionen wieder. Dort trägt man "Pro, Contra, Meinung + Link" ein. Das Plugin lässt sich pro Artikel ein- und ausschalten, sodass das Plugin generell aktiv ist aber jeweils pro Artikel dazugeschaltet werden kann.
2) Schalte ich es in dem besagten Artikel aus und wieder an = verschwindet der Fehler
3) Datiere ich den Artikel = Verschwindet der Fehler
4) Ändere ich die Kategorie = Verschwindet der Fehler
5) Es findet nur eine einzige Weiterleitung zur ein und derselben Seite statt, die ich als URL nicht finden kann

Meine weitere Lösung:
Irgendwo befindet sich eine verschlüsselter Javascript oder PHP-Code, den ich löschen muss. Ich komm auf die Idee, weil ich die URL nicht finden kann, auf der ich weitergeleitet werde. Es gibt dafür genügend Descrypter im Internet.

Meine Frage:
Wie ist das überhaupt möglich und in welchen Dateien sollte ich gezielt suchen?

Vielen Dank für eure Zeit, Mühen und Hilfe

 

Kann leider nicht mehr editieren, habe dafür aber die Lösung:
Unterhalb der einzelnen Artikel befindet sich das oben beschriebene Script zur Bewertung des Produktes. Dort hat sich der verschlüsselte Schadcode versteckt. Von 300 Artikeln waren aber nur 20 infiziert. Ich habe den gesamten Schadcode feinsäuberlich entfernt und die saubere XML-Datei in einen erneut sauberen Blog eingepflegt (neue Dateien, neue Datenbank etc.)

Der Fehler tritt nicht mehr auf. Keine Weiterleitung, kein gar nichts. Das erklärt den Zusammenhang mit dem Plugin. Der Schadcode befand sich immer in den Dateien und wurde durch das aktivierte Plugin ausgelöst. Daher gab es keine Auslösung, also das Plugin unter den einzelnen Artikeln ausgestellt wurde, obwohl es grundlegend aktiviert war.

Meine Frage an euch:
Ist es nötig komplett alles neu aufzusetzen oder sollte damit das Problem behoben sein?

Nochmal vielen lieben Dank für eure Zeit und Hilfe. Ohne die ersten Ansätze wäre ich nicht soweit gekommen

 

Durch das Plugin, geschlossen durch Update des Plugins. Sollte nach der kompletten Säuberung nicht mehr auftreten. Es gibt 40.000+ aktive User, wovon fast alle betroffen waren (laut einigen Berichten).

Den Rest führe ich anhand deines Links aus, vielen Dank

 

Erledigt, soweit wurde nichts gefunden. Bin zwar kein Vollprofi aber auch ich sehe keine ungewöhnlichen oder seltsamen Einträge, die irgendwie nicht zueinander passen. Hoffen wir mal, dass das Problem erledigt ist

 

Der Link zum Dienst: Führt der Dienst nur Backups durch und meldet Fehler oder werden die "schon bereinigt"? Und falls nicht, gibt es gute Lösungen zur Auffindung und Bereinigung? Finde im Internet nichts, was die DB direkt überprüfen lässt. Bis auf die Infos, wie eine infizierte Datenbank aussehen würde.