1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

5.4: Seite vor Kompromittierung vollständig durchaktualisiert - WordPress oder Plugin 0-day?

Dieses Thema im Forum "Allgemeines" wurde erstellt von maltris, 17. April 2020.

  1. maltris

    maltris Well-Known Member

    Registriert seit:
    16. September 2012
    Beiträge:
    80
    Zustimmungen:
    2
    Guten Tag werte WPDE-Mitglieder,

    generell ist es nicht meine Art zu solchen Anliegen um Hilfe zu fragen, da ich in meiner Vergangenheit gewiss über tausend gehackte WordPress-Instanzen gesehen und viele davon auch selber wieder auf die Beine gebracht habe. Am morgen des 15. April bemerkte ich bei einer WordPress-Instanz ein merkwürdiges Verhalten, kompromittierte DB und Daten, Umleitungen zu Scam-Webseiten, das Übliche. Das Schlagwort "stivenfernando" gepaart mit "wordpress" kann euch über die Form der Kompromittierung mittels Google aufklären.

    Zunächst habe ich also ein Backup auf seine Konsistenz geprüft, WordPress, Plugins und Theme auf Aktualität geprüft und eingespielt. Hierbei fiel mir bereits auf, dass die gesamte Installation vollständig up-to-date war. Eine Komprimittierung mittels veraltetem Plugin kann ich also eigentlich ausschließen. Lediglich die PHP-Basis war noch 7.1.33, welches ich in diesem Zuge direkt auf 7.4.4 hochzog.

    Zu diesem Zeitpunkt hatte ich in diversen Themen im wordpress.org Forum bereits versucht mit anderen Personen abzugleichen, welche Plugins als Einfallstor infrage kommen könnten. Überschneidungen gab es eigentlich nur bei:
    • cookie-notice
    • classic-editor
    • duplicator
    Diese Plugins deaktivierte ich also bereits vorab. Leider war die wordpress.org Forenadministration hier sehr schnell daran, alle Threads, die auf dieses Problem hinwiesen, frühzeitig zu entfernen (derzeit höchstens im Google-Cache zu finden, auf Anfrage habe ich einige Screenshots erstellt). Im Endeffekt wurde ich für meine Hilfe gegenüber Personen, die dieses Problem ebenfalls hatte, dann kurzerhand aus dem Forum verbannt.

    Da ich die WordPress-Installationen u. a. mittels git-Versionskontrolle wegsichere, konnte ich hier auch sehr bequem unvermittelte Änderungen auf den Datendateien monitorieren. Bis zum Abend des 16. April war dann Ruhe, die Seite wurde trotz vollständiger Reinigung erneut auf die gleiche Weise komprimittiert. Diesmal hatte ich jedoch genug Zeit um die Accesslogs für weitere Analysezwecke wegzusichern:

    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Dies waren die ersten Requests mit denen die WordPress-Installation erneut komprimittiert wurde. Für mich scheint es hier so, als wäre der Einbruch mit einer sauberen Authentifizierung gegen das Dashboard erfolgt?

    Die User-Accounts wurden vorerst minimiert, Zugangsdaten prophylaktisch geändert und Salts regeneriert. Seit der Änderung sehe ich immer mal vereinzelte Login-Versuche auf das Dashboard, welche meiner Meinung nach jedoch als Grundrauschen zu klassifizieren sind.

    Seht ihr bei verwalteten und/oder eigenen WordPress-basierten Seiten ähnliche Symptome?

    Derzeit beobachte ich die betroffene WordPress-Instanz weiterhin und kann gerne weitere Informationen liefern.

    Freue mich auf eine rege, aber geordnete und freundliche Diskussion!
     
  2. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    9.253
    Zustimmungen:
    1.146
    Die genannte Malware wird nach kurzer Google Analyse offenbar über eine wie auch immer geartete Lücke vermutlich in einem Plugin über persistent XSS hinterlegt, lädt dann bei jedem Seitenbesuch ein oder mehrere JavaScripts, wartet damit bis ein Admin sich anmeldet und baut dann über den WordPress Theme-Editor in die Datei header.php des Themes diverse Dinge ein, die im späteren Verlauf von aussen weitergenutzt werden können.
    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    (ein Leerzeichen in den URLs ergänzt, damit das niemand aus Versehen klicken kann.)

    Die Erfahrung bei ähnlichen Dingen zeigt, bei unbequemen Fragen reagiert das wordpress.org Forum oft recht dünnhäutig.

    Bei einer Infektion mit dem ähnlichen Mechanismus war am Ende eine Vielzahl von Core-Dateien inkl. wp-config.php und auch weitere vorhandene Themes infiziert bzw. es wurden auch tief in Verzeichnissen extra Backdoors hinterlegt was ein Vergleich mit einer aus sauberen Quellen angelegten Dateistruktur mit exakt den gleichen Versionen von WordPress, Themes, Plugins sichtbar machen kann.

    Dein Log ist schwer zu deuten, entweder ist ein (ggf. versteckter) Benutzer vorhanden, oder eine Backdoor macht den Login zu Deinem Admin Nutzer o.ä., wenn das das Einfallstor wäre.
     
    maltris gefällt das.
  3. mensmaximus

    mensmaximus Well-Known Member

    Registriert seit:
    24. Juli 2014
    Beiträge:
    8.813
    Zustimmungen:
    423
    Wahrscheinlich

    Zu spät aktualisiert.
     
    maltris gefällt das.
  4. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    9.253
    Zustimmungen:
    1.146
    maltris gefällt das.
  5. mensmaximus

    mensmaximus Well-Known Member

    Registriert seit:
    24. Juli 2014
    Beiträge:
    8.813
    Zustimmungen:
    423
    Stimmt, hatte ich nicht mehr auf dem Schirm.
     
    maltris gefällt das.
  6. maltris

    maltris Well-Known Member

    Registriert seit:
    16. September 2012
    Beiträge:
    80
    Zustimmungen:
    2
    Nach der letzten Bereinigungsrunde ist das Problem nicht erneut aufgetreten. Es muss wohl mit einem der Useraccounts zu tun gehabt haben, über deren Loginverhalten und Quellsysteme ich keine direkte Kontrolle habe.

    Nach Info an alle Beteiligten mit erneuter Zugangsdaten-Änderung hat sich das Problem nun also erübrigt und die Seite ist wieder vollständig sauber.

    Danke für die Vorschläge!
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden