1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

WP Product Review Lite: XSS (Umleitung) trotz Update vorhanden

Dieses Thema im Forum "Allgemeines" wurde erstellt von mitverstand, 13. Juni 2020.

  1. mitverstand

    mitverstand Member

    Registriert seit:
    30. November 2011
    Beiträge:
    17
    Zustimmungen:
    0
    Hallo Leute,

    ich benötige eure Hilfe, bevor ich Wordpress komplett neu aufsetze. Ich habe das Plugin "WP Product Review Lite" für meinen Blog verwendet, der dadurch infiziert wurde. Hier einmal ein kleiner Artikel dazu:
    https://securityaffairs.co/wordpress/103369/breaking-news/wp-product-review-lite-xss.html

    Folgender Fehler passiert:
    1) Die Seite wird nach einer kurzen Ladezeit auf Malware-Seiten weitergeleitet, ein Fremdzugriff wie im Artikel zu lesen gab es nicht. Es wurde kein User erstellt und die Seite wurde nicht übernommen.
    2) Es passiert nur dann, wenn das Plugin aktiviert ist, sonst nicht. Auch dann, wenn das neueste Update installiert ist. Laut Entwickler soll damit das Problem gelöst sein.

    Folgendes habe ich getan:
    1) Sofort (damals schon) das Update gefahren. Gleicher Fehler, somit komplett alles gelöscht (Plugin, Ordner, restliche Dateien auf dem Webspace und Datenbankeinträge). Auf neues Update gewartet, selbiger Fehler.

    Meine Fehlerbehebung:
    1) Wordpress auf einen frischen Webspace aufgesetzt, selbiges Theme genommen, Plugin installiert = nichts passiert.
    2) Noch einmal alle Plugins installiert, die ich schon auf den infizierten Blog nutze. Nichts passiert (wer weiß, ob sich das Script woanders befindet).

    Bin kein XSS-Experte aber irgendwo muss ich ein Script in einer PHP-Datei befinden, welches durch das Plugin ausgelöst wird.

    Ich habe die gängigsten PHP-Dateien nachgeprüft und finde nichts Auffälliges.

    Eventuell hat einer von euch einen Tipp und kann mir sagen, nach wie ich die Suche in den Dateien verfeinern kann.

    Vielen Dank und liebe Grüße :D
     
  2. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    5.399
    Zustimmungen:
    190
    In der Regel erstellen sich Angeifer neue Scripte in neuen Verzeichnissen.

    Du darfst keiner Datei auf einem gehackten Server vertrauen. Am einfachsten ist das Löschen und neu aussetzen aus einer nicht verseuchten Datenquelle - mit Dchließung der Sicherheistlücke.

    Alles andere würde ich nicht empfehlen.

    Mit Fille-Zilla kannst du Verzeichnisse vergleichen. Auf der einen Seite hast du eine saubere Version auf der anderen Seite ein nicht verrauenswürdige - und kannst dann Verzeichnisse vergleichen

    Ansicht => Verzeichnisvergleich.

    Achte hier auf neue Dateien und Verzeichnisse.

    Selbstverständlich sind auch Änderungen an der Datenbank möglich ... usw.
     
  3. pascal88

    pascal88 Well-Known Member

    Registriert seit:
    12. September 2014
    Beiträge:
    83
    Zustimmungen:
    9
    Hi,

    im von dir verlinkten Beitrag steht doch, dass nur die Datenbank befallen wird.

    "Upon triggering the flaw, the attackers could inject malicious scripts in all the products stored in the database of the targeted website."

    Die Produkte sind in der Datenbank gespeichert. Darauf hast du z.B. per phpMyAdmim Zugriff.

    Durchsuche ein SQL Backup nach <script und checke die Vorkommen.

    Einen SQL Befehl für das massenhafte Entfernen der Injection findest du hier:

    https://website-bereinigung.de/blog/wordpress-hack-weiterleitung
     
  4. mitverstand

    mitverstand Member

    Registriert seit:
    30. November 2011
    Beiträge:
    17
    Zustimmungen:
    0
    Hi Leute,

    vielen Dank für eure sehr gute Hilfe. Ich habe die halbe Nacht meinen Webspace sowie Datenbank gecheckt, keine Fehler gefunden.

    Dann kam ich auf eine neue Idee:
    Ich habe einfach mal eine Sicherung des infizierten Blogs via Datenexport und XML gemacht, um die XML Datei zu prüfen. Aus meiner Sicht nichts Auffälliges.

    Jetzt kommt das große ABER!
    Ich habe die Daten im erneut frisch aufgesetzten Blog via Datenexport häppchenweise eingepflegt.
    Blogger Import (Kommentare, Bilder, Schlagwörter) = Kein Fehler
    Kategorien und Tags-Konverter = Kein Fehler
    RSS = Kein Fehler
    Wordpress (Beiträge, Seiten, Kommentare) = Fehler

    Also bin ich alle Artikel durchgegangen und habe sie nach und nach gelöscht - bis ich einen Artikel gefunden, der die Weiterleitung auslöst.

    Sobald ich den Artikel auf 2016 datiere (er stammt von 2020) und wieder korrekt datiere, verschwindet der Fehler.

    Also habe ich den gesamten Artikel gelöscht und einzeln via XML-Import eingepflegt = Der Fehler erscheint erneut.

    Schritt 2:
    Ich habe anschließend die Kategorien einzeln geöffnet, in der dieser besagte Artikel erscheint. Der Fehler erscheint nur in der Kategorie, in der sich der besagte Artikel befindet. Andere Kategorien sind nicht betroffen.

    Kurioserweise aber nur, wenn der besagte Artikel auf der Seite auch als anklickbare Überschrift sichtbar ist. Sobald ich auf Seite 2 derselben Kategorie schaue, verschwindet der Fehler.

    Heißt also: Die Weiterleitung findet ausschließlich nur dann statt, wenn der besagte Artikel auf der Seite gelistet ist, die man auch besucht. Völlig unabhängig davon, ob man genau den Artikel liest oder die entsprechende Hauptseite oder Kategorie offen hat, in der sich der Artikel befindet.

    Ausschussverfahren zur Eingrenzung und Zusammenfassung:
    1) Nur in Zusammenhang mit dem Plugin.
    1a) Es funktioniert wie folgt: Am Ende des Artikels gibt das Plugin seine Funktionen wieder. Dort trägt man "Pro, Contra, Meinung + Link" ein. Das Plugin lässt sich pro Artikel ein- und ausschalten, sodass das Plugin generell aktiv ist aber jeweils pro Artikel dazugeschaltet werden kann.
    2) Schalte ich es in dem besagten Artikel aus und wieder an = verschwindet der Fehler
    3) Datiere ich den Artikel = Verschwindet der Fehler
    4) Ändere ich die Kategorie = Verschwindet der Fehler
    5) Es findet nur eine einzige Weiterleitung zur ein und derselben Seite statt, die ich als URL nicht finden kann

    Meine weitere Lösung:
    Irgendwo befindet sich eine verschlüsselter Javascript oder PHP-Code, den ich löschen muss. Ich komm auf die Idee, weil ich die URL nicht finden kann, auf der ich weitergeleitet werde. Es gibt dafür genügend Descrypter im Internet.

    Meine Frage:

    Wie ist das überhaupt möglich und in welchen Dateien sollte ich gezielt suchen?

    Vielen Dank für eure Zeit, Mühen und Hilfe :D
     
    #4 mitverstand, 14. Juni 2020
    Zuletzt bearbeitet: 14. Juni 2020
  5. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    8.605
    Zustimmungen:
    979
    Vermutlich läuft nach wie vor Malware auf dem Website.
    In allen. Komplettabgleich des gesamten Hostinginhalts mit sicher sauberen Dateien aus frischen Downloads von WP/Theme/Plugins.

    Das allgemeine Vorgehen mit allen notwendigen Schritten bei einem Hack ist z.B. hier beschrieben.
     
  6. mitverstand

    mitverstand Member

    Registriert seit:
    30. November 2011
    Beiträge:
    17
    Zustimmungen:
    0
    Kann leider nicht mehr editieren, habe dafür aber die Lösung:
    Unterhalb der einzelnen Artikel befindet sich das oben beschriebene Script zur Bewertung des Produktes. Dort hat sich der verschlüsselte Schadcode versteckt. Von 300 Artikeln waren aber nur 20 infiziert. Ich habe den gesamten Schadcode feinsäuberlich entfernt und die saubere XML-Datei in einen erneut sauberen Blog eingepflegt (neue Dateien, neue Datenbank etc.)

    Der Fehler tritt nicht mehr auf. Keine Weiterleitung, kein gar nichts. Das erklärt den Zusammenhang mit dem Plugin. Der Schadcode befand sich immer in den Dateien und wurde durch das aktivierte Plugin ausgelöst. Daher gab es keine Auslösung, also das Plugin unter den einzelnen Artikeln ausgestellt wurde, obwohl es grundlegend aktiviert war.

    Meine Frage an euch:
    Ist es nötig komplett alles neu aufzusetzen oder sollte damit das Problem behoben sein?

    Nochmal vielen lieben Dank für eure Zeit und Hilfe. Ohne die ersten Ansätze wäre ich nicht soweit gekommen :D
     
  7. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    8.605
    Zustimmungen:
    979
    Die notwendigen Schritte sind im o.g. Link beschrieben.

    Der erste und wichtigste Punkt wäre: Feststellen, wann/woher der Hack kam, Lücke identifizieren, Lücke schliessen.
     
  8. mitverstand

    mitverstand Member

    Registriert seit:
    30. November 2011
    Beiträge:
    17
    Zustimmungen:
    0
    Durch das Plugin, geschlossen durch Update des Plugins. Sollte nach der kompletten Säuberung nicht mehr auftreten. Es gibt 40.000+ aktive User, wovon fast alle betroffen waren (laut einigen Berichten).

    Den Rest führe ich anhand deines Links aus, vielen Dank :D
     
  9. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    5.399
    Zustimmungen:
    190
    Dies bringt ihm jetzt relativ wenig, wenn er dies schon x fach gemacht hat und den Schadecode augenscheinlich in der Datenbank hat. Durch deinen Hinweis dreht er sich nur erneut im Kreis. Die Sicherheitslücke hatte er bereits im ersten posting gelöscht und beseitigt.
     
  10. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    5.399
    Zustimmungen:
    190
    Du könntest deine Datenbank noch einmal exportieren und die SQL Datei auf Schadecode mit einem Virenscanner prüfen lassen.
     
  11. mitverstand

    mitverstand Member

    Registriert seit:
    30. November 2011
    Beiträge:
    17
    Zustimmungen:
    0
    Erledigt, soweit wurde nichts gefunden. Bin zwar kein Vollprofi aber auch ich sehe keine ungewöhnlichen oder seltsamen Einträge, die irgendwie nicht zueinander passen. Hoffen wir mal, dass das Problem erledigt ist :D
     
  12. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    5.399
    Zustimmungen:
    190
    Ich dachte eher an Software Werkzeuge. Bei Wordpress kann man zum Beispiel mit https://de.jetpack.com/ kostengünstig die Datenbank prüfen.
    (eine virenverseuchte Datenbank wird nicht gesichert).

    Ich selbst bevorzuge andere Lösungen...
     
  13. mitverstand

    mitverstand Member

    Registriert seit:
    30. November 2011
    Beiträge:
    17
    Zustimmungen:
    0
    Der Link zum Dienst: Führt der Dienst nur Backups durch und meldet Fehler oder werden die "schon bereinigt"? Und falls nicht, gibt es gute Lösungen zur Auffindung und Bereinigung? Finde im Internet nichts, was die DB direkt überprüfen lässt. Bis auf die Infos, wie eine infizierte Datenbank aussehen würde.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden