Da viele unter euch eigene Blogs betreiben oder Webseiten auf WordPress Basis, die oftmals auf fertigen Themes basieren oder generell den Revolution-Slider (RevSlider bzw. Slider Revolution) verwenden, möchte ich euch heute darüber informieren, dass eine Sicherheitslücke aktiv ausgenutzt wird.
Es handelt sich dabei um die bereits bekannte Lücke, mit der Zugriff auf die wp-config.php der WordPress-Systeme besteht und Code ausgeführt werden kann. Diese ist spätestens seit dem 3. September diesen Jahres großflächig bekannt und bereits von den Entwicklern geschlossen worden, die Verbreitung der älteren und damit anfälligen Version ist jedoch immer noch relativ hoch.
An erster Stelle solltet Ihr prüfen ob z.B. euer Theme auf den Revolution-Slider setzt. Viele Nutzer wissen gar nicht, dass sie dieses Plugin im Einsatz haben, da es einfach mit dem eigenen Theme ausgeliefert wird.
Automatische Updates für das Plugin sind oftmals nicht möglich, da es sich um ein kostenpflichtiges Plugin handelt, welches teilweise fest mit einem Theme verbunden ist.
Nach aktuellen Angaben sind bereits mehr als 100.000 WordPress-Webseiten befallen, Tendenz steigend. Google hat mittlerweile 11.000 Domains von den Suchergebnissen aufgrund von Malwarebefall (über diese Sicherheitslücke) gesperrt (Quelle: Sucuri).
Aufgrund der Brisanz und des möglichen Schadens für eure Webseiten und das Ranking, kann ich nur jedem empfehlen die eigene WordPress Webseite entsprechend zu prüfen.
Da ich in der vergangenen Woche bereits mehrere befallene WordPress-Seiten von der Malware befreit habe, möchte ich euch gerne ein paar Tipps geben, wie ihr den Malwarebefall prüfen könnt. Ich möchte aber darauf hinweisen, dass die Angriffspunkte variieren und bei den von mir geprüften Seiten immer wieder andere Dateien befallen waren, es handelt sich ihr also lediglich um Tipps ohne jegliche Garantie, dass ihr eure Seiten damit wirklich komplett von der Malware befreien könnt oder eure Seiten nicht anderweitig beschädigt.
Bei den geprüften Seiten ist der Schadcode über Dateien im Verzeichnis:
/wp-content/plugins/revslider/temp/update_extract/*** |
verteilt worden (prüft auch eure Log-Dateien ob es in dem Bereich Aktivitäten gab). Prüft die Dateien in dem Verzeichnis und schaut im Code nach was diese tun. Ein guter Anhaltspunkt ist die Code-Schreibweise selbst. In den beobachteten Fällen war der Code immer Base64 codiert und damit relativ gut zu erkennen. Der Base64 Code kann in einer virtuellen Maschine oder Sandbox entschlüsselt oder ausgeführt werden, so erhaltet ihr im besten Fall weitere Hinweise wo sich der Schadcode weiterverbreitet hat.
In den von mir beobachteten Fällen wurden Toolboxen, die den Fernzugriff auf den gesamten Webspace erlaubten, auf die root-Ebene der WordPress Installation verschoben, diese tarnten sich dort als WordPress-System-Dateien. Prüft also auch hier alle Dateien und vor allem Änderungsdaten der Dateien.
Eine weitere Art der Attack sind Änderungen an der Datei:
/wp-includes/template-loader.php |
Dort wird eine verseuchte SWFobject eingeunden, die Nutzer auf die Webseite soaksoak.ru weiterleitet.
Geht zur Bereinigung wie folgt vor:
1. Löscht alle Dateien der Malware oder befreit System-Dateien von entsprechenden Änderungen.
2. Updated euer WordPress-System auf die aktuelle Version
3. Updated euer Theme auf die aktuellste Version
4. Updated den RevSlider auf die aktuellste Version, mindestens 4.2
5. Ändert ALLE Zugangsdaten (WordPress Benutzer, Datenbank und auch FTP-Daten, vor allem wenn diese in der wp-config.php hinterlegt waren)
6. Installiert Sicherheitsplugins die weitere Änderungen auf eurem Webspace und dem System protokollieren und prüft die Protokolle in regelmäßigen Abständen
Da die Malware in der Lage ist weiteren Code von entfernten Servern nachzuladen, kann sich die Art der Attacken jederzeit ändern. Es handelt sich hier, wie bereits erwähnt, nur um Tipps die auf Basis meiner Beobachtungen zu einer erfolgreichen Entfernung der Malware führten.
Sucuri berichtet z.B. von Code der über die Webseite soaksoak.ru nachgeladen wurde, in meinen geprüften Fällen ist jedoch Code von Pastebin nachgeladen worden. Dabei handelt es sich wie bereits erwähnt um eine Toolbox mit deren Hilfe theoretisch eine Übernahme des gesamten Webspaces möglich wäre. Der Code befindet sich aktuell auch noch auf Pastebin, ggf. hilft euch die Vorlage den Schadcode bei euch zu identifizieren: http://pastebin.com/raw.php?i=JK5r7NyS
Weitere Informationen findet ihr auch im Sucuri Blog und in diesem Post.
Für Rückfragen könnt ihr gerne die Kommentare nutzen.
Nachtrag:
Die Entwickler des Plugins (Themepunch) „Slider Revolution“ haben darauf hingewiesen, dass es sich bei der aktuell ausgenutzten Sicherheitslücke um eine bereits bekannte und gefixte Lücke handelt. Der Artikel ist dementsprechend umgestellt worden und ich bedanke mich für den Hinweis bei @themepunch.
Schlagworte zu diesem Artikel: Blog, Content, Google, PHP, Slider
Der Benachrichtigungs-Dienst wird von WordPress.com (Automattic Inc., USA ) bereitgestellt. Mit der Anmeldung akzeptierst du die Datenschutzerklärung. Die Abmeldung / Abo-Verwaltung ist jederzeit über diesen Link möglich.