Von Arthur Končar am Dienstag, März 08 th, 2016 · no Comments · Unter ,

Denis Sinegubko, Spezialist für Backdoor-Trojaner und Experte des Sicherheitsdienstleisters Sucuri (www.sucuri.net) hat in einem WordPress-Plugin Unregelmäßigkeiten ausgemacht. Im Sucuri-Blog (blog.sucuri.net, engl.) beschreibt er in einem lesenswerten Artikel, was es mit dem Plugin „Custom Content Type Manager“ auf sich hat.
Custom Content Type Manager (s. WordPress Plugins) ist ein Plugin, das den Download verschiedener Dateitypen von einer mit WordPress erstellten Website ermöglicht.

Wie verhält sich dieser Backdoor-Trojaner?

Mit der Installation und der Aktivierung dieses Plugins in den Versionen v0.9.8.7 und v0.9.8.8 wird ein Backdoor-Trojaner (s. Glossar im nebenstehenden Kasten) installiert, der dem Angreifer den internen Zugriff auf die Website ermöglicht.

Dort werden folgende WordPress-Systemdateien modifizert:

./wp-login. php

./wp-admin/user-edit. php

./wp-admin/user-new. php)

Diese Dateien enthalten -vereinfacht gesprochen – die Benutzerdaten des Systems. Sie werden auf den Server des Angreifers geladen. Der Hacker verfügt in der Folge somit über alle Benutzername und Passworte der Website.

Sollten diese Daten auch zur Anmeldungen an anderen Websites verwendet werden, verfügt er in der Folge natürlich auch über den Zugriff auf diese Sites.

Darüber hinaus wird eine modifizierte Version eines Scripts (jquery.js) nachgeladen und über das Original installiert. Die Auswirkungen dieser modifizierten Funktionalität ist noch nicht bekannt.

Voraussetzungen

Wer sollte diesen Artikel lesen?

Dieser Text ist für alle Benutzer einer WordPress-Installation verfasst, speziell aber für unsere Kunden.

Wenn Sie WordPress nicht verwenden, freuen wir uns über Ihren Besuch, Sie können sich aber gerne gleich unseren anderen Angeboten oder Beiträgen widmen, da sich der Artikel hauptsächlich an Online-Redakteure wendet.

Welche Vorkenntnisse sollte ich für diesen Artikel mitbringen?

Wir sprechen damit Personen an, die WordPress bereits im Einsatz und wissen, wie sie die Basisfunktionalität durch Plugins erweitern können. Sie müssen keine Kenntnisse über Programmierung und Webentwicklung haben.

Wie kann ich ihn wieder entfernen?

  1. Installieren Sie das Plugin „Custom Content Type Manager“ in der Version v0.9.8.9.
    Vernünftiger ist es aber, das Plugin durch ein anderes zu ersetzen, da auch ältere Versionen als v0.9.8.6 anfällig für Hacks sind!
  2. Installieren Sie die Dateien ./wp-login. php, ./wp-admin/user-edit. php und ./wp-admin/user-new. php neu.
    Die Originale der WordPress-Version v4.4.2 gibt es hier: http://core.svn.wordpress.org/tags/4.4.2/
  3. Löschen Sie ggf. den Benutzer „support“ mit der Email-Adresse „[email protected] .com“ ebenso wie alle anderen unbekannten Benutzer.
  4. Ändern Sie die Passworte aller Benutzer.
  5. Entfernen Sie die Datei „wp-options. php“ aus dem Basisverzeichnis.
  6. Durchsuchen Sie die Datenbank nach dem Begriff „wordpresscore“ (nur für erfahre Benutzer!).

Glossar

Was ist WordPress?

WordPress ist ein Content Management System. Das ist Software, die auf einem Webserver installiert ist. Sie hilft Personen ohne Programmierkenntnisse, einfach und schnell Inhalte im Internet zu veröffentlichen.

Was ist ein Plugin?

Plugins sind Zusatzprogramme. Sie erweitern die Grundfunktionalität eines CMS. Sie werden meist von Pesonen entwickelt, die meist in keinem Abhängigkeitsverhältnis zum Hersteller des CMS stehen.

Was ist eine Backdoor?

Bei einer Backdoor handelt es sich um eine verborgene Möglichkeit („Hintertür“), einen Festplattenbereich (meist unerlaubterweise) zu betreten und dort unbeobachtet Änderungen vorzunehmen.

Was ist ein Trojaner?

Ein Trojaner ist ein Programm, das einem Benutzer ohne sein Wissen illegal untergeschoben wird und unbeobachtet Funktionen ausführen kann. Zum Beispiel kann es eine Backdoor einrichten.

Wie kann ich mich zukünftig schützen?

  • Überprüfen Sie Ihre WordPress-Installation regelmäßig auf Sicherheitslöcher, z. B. mithilfe des Google Transparenzberichts (www.google.com/transparencyreport/safebrowsing/diagnostic/?hl=de)
  • Kontrollieren Sie auf der WordPress-Seite des Plugins unter den Karteireiter „Changelog“, „Support“ und „Reviews“, ob andere Benutzer vor der Benützung des Plugins warnen. Bei diesem Plugin ist dies der Fall (s. Abb. 1).
  • Arbeiten Sie generell mit einem Autoren-Account, wenn Sie Ihr System nicht gerade administrieren müssen.
  • Verwenden Sie starke Passworte. Was darunter zu verstehen ist haben wir in diesem Artikel zusammengefasst (www.artkon.com/)
  • Für Spezialisten: Halten Sie sich auf dem Laufenden. Z. B. auf dem Sucuri-Blog zum Thema „WordPress“: blog.sucuri.net/category/wordpress-security/

Abb. 1

Verwirrend? Zu schwierig? Fragen Sie uns!

Wenn Sie Unterstützung bei der Absicherung Ihrer WordPress-Installation suchen, können wir Ihnen gerne helfen. Fragen Sie uns einfach!

Anrede *:

Vorname *:

Nachname *:


Firmenname:

Website:


E-Mail-Adresse *:

Telefonnummer:


Betreff*:

Ihre Nachricht *:

Bitte kontaktieren Sie mich: per Emailper Telefon

Es versteht sich von selbst, dass Ihre Angaben streng vertraulich behandelt werden.
Weitere Details erhalten Sie in unserer Datenschutzerklärung.

Share

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Title
Caption
File name
Size
Alignment
Link to
  Open new windows
  Rel nofollow