Info:Wordpress Duplicator problematisch

Theoderix

Miesepeter
Moin Boardies, da ich mich seit ein paar Tagen mit gehackten Wordpress Installationen rumärgere, aber bei heise nur was über welche stand die nicht soo verbreitet sind und auch bei https://wpvulndb.com/ nix stand-und die auch in keiner der betroffenen Installationen installiert waren- bin ich bei wordfence fündig geworden.
Der Duplicator hatte wohl eine ausnutzbare Lücke, die eben auch ausgenutzt wurde.
Verhalten, welches ich bisher feststellen konnte:
  • Es wurde eine .htaccess Datei erstellt oder eine vorhandene manipuliert und um einen Redirect bei Zugriff mit einem Mobilgeräts ergänzt, die zu einer Glückskeksseite weitergeleitet hat. Das klappte bei einigen Geräten, bei anderen wurde nur ein grüner Kreis mit Loading angezeigt. Da ich normalerweise nie mit einem Mobil zugreife, fiel mirs erst am 29.02. auf(könnte also schon länger dort gelegen habe).
  • Es wurden zusätzlich Krudezeichen-Admin-Benutzer angelegt.
Löschen oder reinigen der .htaccess scheint endgültig zu sein...bisher kam keine nach.
Löschen der neuen Adminuser reicht nur kurz, nach einem Tag waren weitere neue wieder angelegt - es findet also weiter Manipulation statt(Stand: Heute).
Da die Duplicator Plugins deaktiviert bzw. deinstalliert wurden, bleibt der Hinweis aus oben verlinktem Artikel mit dem Erbeuten der wp-config.php und dem Zugriff auf die Datenbank aus meiner Sicht übrig.
Neuanlage der MySQL Datenbanken, neue Passwörter und der Test, wie lange die Installationen danach sauber bleiben, läuft gerade.

Mir ist auch klar, dass man das komplett neu aufziehen muss um sich wieder ein wenig sicherer zu fühlen...Backups gibts, muss aber erstmal klären ob die sauber sind oder auch durch offensichtliches(siehe oben) als Kontaminiert anzusehen sind.

Da das Plugin Duplicator auf mehr al 1 Mio Wordpresses läuft dacht ich der Hinweis hier wäre vielleicht hilfreich, richtige NEWS sinds halt nicht.
Gruß Theo
 

galaxy500

Korinthenkacker!
Moin Moin!

Seit dem 12.2.2020 sagt dir das Plugin:
Security Fix - Please update as soon as possible!

Und du hast das erst heute entdeckt?

Sauber bleiben!
 

Theoderix

Miesepeter
Tja, ich habe am 13.2 die Mitteilung via WP Updates Notifier bekommen, dass eine neue Fassung vom Duplicator darauf wartet installiert zu werden. Das habe ich zeitnah gemacht.

Aufgefallen ist mir das Problem an besagtem 29.2, weil ich eben nicht permanent im Dashboard nachgucke ob neue Adminuser angelegt werden und ich eben -in Ermangelung eines Samrtphones- nicht mit dem Mobile auf Webseiten zugreife. Eventuell war ich etwas langsam indem ich einen Tag gebraucht habe um die aktuelle Fassung zu installieren.

Falls du also die Info doof findest und mich wegen Faul-und Dummheit anpissen magst, ist es zur Kenntnis genommen. Ich dachte vielleicht betrifft es den ein -oder anderen der nicht täglich in seine oder andere Wordpressinstallationen reinguckt - deswegen der Beitrag.
Lies also einfach drüber weg wenns dich zu sehr stört.

#Update
Die Installationen sind völlig korrumiert, da liegen diverse weiter ausgeführte Scripte in verschiendenen Unterordnern der WP Installation rum.
Einzige sinnvolle Lösung: Neue Datenbank und sauberes Backup zurückspielen!
 
Zuletzt bearbeitet:
Oben Unten