Info:Wordpress Duplicator problematisch

Dieses Thema im Forum "News & IT Forum" wurde erstellt von Theoderix, 9 März 2020.

  1. Theoderix

    Theoderix Miesepeter

    Registriert seit:
    22 April 2001
    Beiträge:
    3.791
    Moin Boardies, da ich mich seit ein paar Tagen mit gehackten Wordpress Installationen rumärgere, aber bei heise nur was über welche stand die nicht soo verbreitet sind und auch bei https://wpvulndb.com/ nix stand-und die auch in keiner der betroffenen Installationen installiert waren- bin ich bei wordfence fündig geworden.
    Der Duplicator hatte wohl eine ausnutzbare Lücke, die eben auch ausgenutzt wurde.
    Verhalten, welches ich bisher feststellen konnte:
    • Es wurde eine .htaccess Datei erstellt oder eine vorhandene manipuliert und um einen Redirect bei Zugriff mit einem Mobilgeräts ergänzt, die zu einer Glückskeksseite weitergeleitet hat. Das klappte bei einigen Geräten, bei anderen wurde nur ein grüner Kreis mit Loading angezeigt. Da ich normalerweise nie mit einem Mobil zugreife, fiel mirs erst am 29.02. auf(könnte also schon länger dort gelegen habe).
    • Es wurden zusätzlich Krudezeichen-Admin-Benutzer angelegt.
    Löschen oder reinigen der .htaccess scheint endgültig zu sein...bisher kam keine nach.
    Löschen der neuen Adminuser reicht nur kurz, nach einem Tag waren weitere neue wieder angelegt - es findet also weiter Manipulation statt(Stand: Heute).
    Da die Duplicator Plugins deaktiviert bzw. deinstalliert wurden, bleibt der Hinweis aus oben verlinktem Artikel mit dem Erbeuten der wp-config.php und dem Zugriff auf die Datenbank aus meiner Sicht übrig.
    Neuanlage der MySQL Datenbanken, neue Passwörter und der Test, wie lange die Installationen danach sauber bleiben, läuft gerade.

    Mir ist auch klar, dass man das komplett neu aufziehen muss um sich wieder ein wenig sicherer zu fühlen...Backups gibts, muss aber erstmal klären ob die sauber sind oder auch durch offensichtliches(siehe oben) als Kontaminiert anzusehen sind.

    Da das Plugin Duplicator auf mehr al 1 Mio Wordpresses läuft dacht ich der Hinweis hier wäre vielleicht hilfreich, richtige NEWS sinds halt nicht.
    Gruß Theo
  2. galaxy500

    galaxy500 Korinthenkacker!

    Registriert seit:
    7 Januar 2002
    Beiträge:
    1.185
    Moin Moin!

    Seit dem 12.2.2020 sagt dir das Plugin:
    Security Fix - Please update as soon as possible!

    Und du hast das erst heute entdeckt?

    Sauber bleiben!
  3. Theoderix

    Theoderix Miesepeter

    Registriert seit:
    22 April 2001
    Beiträge:
    3.791
    Tja, ich habe am 13.2 die Mitteilung via WP Updates Notifier bekommen, dass eine neue Fassung vom Duplicator darauf wartet installiert zu werden. Das habe ich zeitnah gemacht.

    Aufgefallen ist mir das Problem an besagtem 29.2, weil ich eben nicht permanent im Dashboard nachgucke ob neue Adminuser angelegt werden und ich eben -in Ermangelung eines Samrtphones- nicht mit dem Mobile auf Webseiten zugreife. Eventuell war ich etwas langsam indem ich einen Tag gebraucht habe um die aktuelle Fassung zu installieren.

    Falls du also die Info doof findest und mich wegen Faul-und Dummheit anpissen magst, ist es zur Kenntnis genommen. Ich dachte vielleicht betrifft es den ein -oder anderen der nicht täglich in seine oder andere Wordpressinstallationen reinguckt - deswegen der Beitrag.
    Lies also einfach drüber weg wenns dich zu sehr stört.

    #Update
    Die Installationen sind völlig korrumiert, da liegen diverse weiter ausgeführte Scripte in verschiendenen Unterordnern der WP Installation rum.
    Einzige sinnvolle Lösung: Neue Datenbank und sauberes Backup zurückspielen!
    Zuletzt bearbeitet: 11 März 2020