WordPress: Schwachstelle in DSGVO-Plugin wird von Hackern ausgenutzt

Über den Unsinn mit dem aktuellen Stand der DSGVO brauchen wir nicht diskutieren. Schwammige Gesetzeslage, fehlende Richtlinien für Blogger und Websitebetreiber führen dazu, dass man sich prophylaktisch absichern möchte. Das weitverbreitete WP GDPR COMPLIANCE PLUGIN ist nun auch noch Ziel eines Hackerangriffs geworden.

Geschätzte Lesedauer: 2 Minuten

Tatsächlich war auch meine Seite von diesem Hack betroffen. Unter den WordPress Benutzern waren auf einmal zwei neue Accounts mit den Namen t2trollherten und t3trollherten zu finden, die auch Adminstrations-Rechte hatten. Zum Glück wurde ich sofort nach der Erstellung der beiden Benutzer darüber informiert, dass neue User angelegt wurden und konnte sofort reagieren:

  1. Löschen verdächtiger neuer Admin-Benutzer
  2. Deaktivierung des WP GDPR Compliance Plugins
  3. Prüfung, ob Dateien kompromittiert wurden
  4. Überprüfung der Log-Files auf verdächtige Aktionen
  5. Überprüfung der wp_posts Tabelle in der Datenbank auf verdächtige Javascripte
  6. Vorsichtshalber die Rücksicherung eines WordPress Backups von letzter Woche

Sehr hilfreich war, dass ich seit längere Zeit das Plugin Wordfence https://www.wordfence.com/ im Einsatz habe, das viele Sicherheitsfunktionen bietet. Darunter auch, dass es die Ausführung von Dateien im Upload-Verzeichnis verhindert. Genau das ist nämlich das Ziel des Angriffs auf das WP GDPR Compliance Plugin: Die Hacker laden eine Webshell auf den Server, mit deren Hilfe sie den Server vollständig übernehmen können.

Diese Webshell befindet sich wohl meistens im Uploads-Verzeichnis und ist als WordPress-Datei mit den Dateinamen wp-cache.php oder wp-upd.php getarnt. Beide Dateien waren in meiner WordPress-Installation nicht zu finden. Bei vielen Betroffenen WordPress-Betreibern ist sie aber wohl unter /wp-content/uploads/2018/11/ zu finden.

Wenn man einen SSH-Zugang zum Server hat, kann man innerhalb der WordPress Installation mit dem Linux-Befehl

find ./ -name wp-upd.php

bzw.

find ./ -name wp-cache.php

nach entsprechenden Dateien suchen und sie ggf. löschen.

Man kann außerdem einmal nach allen Dateien suchen, die innerhalb der letzten 7 Tage neu angelegt wurden:

find ./ -mtime -7 | less

(das | less bewirkt, dass ihr mit der Leertaste Seitenweise durch das Suchergebnis scrollen könnt). Alternativ könnt ihr mit diesem Befehl die Ausgabe in eine Textdatei schreiben, diese auf euren Rechner herunterladen und mit einem Editor eurer Wahl (z. B. Notepad ++ oder VSCode) studieren und auswerten:

find ./ -mtime -7 > ergebnis.txt

Mittlerweile gibt es ein Sicherheits-Update für das WP GDPR Compliance Update (Version 1.4.3), das ihr unbedingt einspielen müsst – oder ihr verzichtet ganz auf dieses Plugin.

Einen hilfreichen Beitrag mit diversen Anleitungen zum WP GDPR Plugin Hack findet ihr hier: https://website-bereinigung.de/blog/wp-gdpr-compliance-sicherheitsluecke

 

Auch interessant:

4
Hinterlasse einen Kommentar

avatar
3 Kommentar Themen
1 Themen Antworten
0 Follower
 
Kommentar, auf das am meisten reagiert wurde
Beliebtestes Kommentar Thema
4 Kommentatoren
nachbelichtetBerndlichtbildwerkerinArndt Letzte Kommentartoren
  Kommentare abonnieren  
neueste älteste meiste Bewertungen
Benachrichtige mich bei
Bernd
Gast
Bernd

Das geht auch ohne überladenes „Sicherheitsplugin“ mit den richtigen Servereinstellungen bspw. über die .htaccess – Datei…

lichtbildwerkerin
Gast

Hi und an dieser Stelle vielen Dank für deine oft sehr informativen und hilfreichen Beiträge. WordPress.com ist davon aber nicht betroffen? Hilft die 2-Schritte-Authentifizierung gegen solche Angriffe?

Nette Grüße, Conny

Arndt
Gast
Arndt

Hallo und vielen Dank für Deinen Beitrag, sehr hilfreich!

Ich wurde zwar nicht über dieses Plugin angegriffen, jedoch wurde auch bei ein Angriff über Shell vorgenommen und ein Admin-User angelegt. Sehr ärgerlich.

Würdest Du mir verraten, an welcher Stelle im genannten Plugin diese Funktion aktiviert werden kann: „Darunter auch, dass es die Ausführung von Dateien im Upload-Verzeichnis verhindert.“

Oder ist das eine Premium Funktion?

Danke und Grüße
Arndt