1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Backdoor via SQL Trigger

Dieses Thema im Forum "Konfiguration" wurde erstellt von pedro999, 29. August 2022.

  1. pedro999

    pedro999 Member

    Registriert seit:
    16. Juni 2013
    Beiträge:
    22
    Zustimmungen:
    1
    Hallo,

    Unter https://www.labut.at wurde kürzlich ein User wpadmin (wp-security@hotmail.com) angelegt,
    obwohl die Registrierung deaktiviert ist.

    Den User habe ich gelöscht. Unter https://lukeleal.com/research/posts/wordpress-comment-backdoor-sql-trigger/ stieß ich dann auch bald auf eine mögliche Ursache.

    Wenn ich das richtig verstehe sollte es über die wp-config.php möglich sein die "trigger privlege" des SQL user einzuschränken. Könnt ihr mir vielleicht sagen, welche Eintragung ich dafür vornehmen müsste.
     
    #1 pedro999, 29. August 2022
  2. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    11.683
    Zustimmungen:
    1.786
    Offenbar wurde der Website gehackt. Alles auf dem Server inkl. Datenbank ist als kompromitiert zu betrachten.

    Die SQL-Trigger Beschreibung setzt voraus, dass der Website bereits anderweitig kompromitiert wurde und ist nur eine Rückfallebene des Angreifers.
    Jemand hat eine Sicherheitslücke in Deinem Theme oder in einem Plugin oder in WordPress oder auf noch andere Art und Weise ausgenutzt, um (mindestens) diesen einen neuen Benutzer anzulegen.

    Ein nachträglicher Versuch, eine mögliche andere Hinterlassenschaft des Hacks (SQL-Trigger) etwas einzugrenzen, ist nicht ausreichend, es beseitigt nicht die Sicherheitslücke.

    Das allgemeine Vorgehen bei einem Hack ist z.B. hier beschrieben, das könntest Du mit jemandem mit WordPress Erfahrung bei Dir im näheren Umfeld zusammen durchgehen.

    Dabei am Wichtigsten wäre, die für den Hack genutzte(n) Lücke(n) zu ermitteln, damit das nicht wieder passiert.
     
    #2 b3317133, 29. August 2022
    pedro999 gefällt das.
  3. pedro999

    pedro999 Member

    Registriert seit:
    16. Juni 2013
    Beiträge:
    22
    Zustimmungen:
    1
    Danke für die Infos.
    Der User wpadmin wurde zwar bislang nicht erneut angelegt, doch findet sich im SQL Export ...

    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Ich möchte versuchen auf Basis verfügbarer Anleitungen der Sicherheitslücke auf die Spuren zu kommen. Etwas überrascht bin ich, dass der Wordfence Scan stets "no issues found" zurückliefert. In den Scan Options sind die "files outside your WP installation" bzw. "images, binary and other files" jedenfalls inkludiert.
     
    #3 pedro999, 2. September 2022
(Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können. )
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Akzeptieren Weitere Informationen...
    Information ausblenden