imunify360 firewall

Imunify Betriebsteam eliminiert ein bösartiges Plugin

Letzte Woche hat das Imunify Betriebsteam Malware entdeckt, die in ein WordPress-Plugin eingebettet ist. Am Donnerstag meldeten sie es dem WordPress Plugin Review Team, das das Plugin am nächsten Tag schloss.

Wir möchten Ihnen mitteilen, was unser Operations-Team gesehen hat, damit Sie mehr darüber erfahren, wie bösartige Plugins funktionieren und wie Sie sie vermeiden können.

Das Neueste aus einer Serie

Das bösartige Plugin, das wir eliminiert haben, heißt Custom-One-Click-SEO-Sitemap:

Imunify Malwareprotection

Es ist das neueste einer Reihe von Plugins, die denselben Schadcode enthalten. Sie wurden alle vom selben Autor erstellt und im vergangenen Jahr alle in den WordPress-Katalog hochgeladen:

HTML-in-URL-Permalink (geschlossen am 15. Mai 2019) 

Revisionen für alle Post-Typen deaktivieren (geschlossen am 4. Juli 2019)

Benutzerdefinierte URL (geschlossen am 7. Juli 2019)

Benutzerdefinierte One-Click-SEO-Sitemap (geschlossen am 30. April 2020)

Post-Type-Paginierung (geschlossen am 30. April 2020)

Sie werden feststellen, dass das letzte Plugin in dieser Reihe vom WordPress-Sicherheitsteam am selben Tag geschlossen wurde, an dem das von uns identifizierte Plugin geschlossen wurde. Dies deutet darauf hin, dass das WordPress-Team nach Plugins gesucht hat, die diese Malware enthalten, und dann alle geschlossen hat, die sie haben.

Wie funktioniert es?

Unser Betriebsteam stellte fest, dass das benutzerdefinierte Plug-in für SEO-Sitemap mit einem Klick mit einem böswilligen Backdoor-Dropper infiziert war. Sie sahen sich den Code der Datei index.php unter https://plugins.trac.wordpress.org/browser/custom-one-click-seo-sitemap/trunk/index.php an und stellten fest, dass eine verdächtige Datei aufgerufen wurde. plugin.html:

Wordpress Plugins

Diese zweite Datei, plugin.html, ist rein böswillig – sie löscht Spyware von einem entfernten Ort in WordPress. Wenn das Plugin installiert ist, verwendet es plugin.html, um eine E-Mail an den Angreifer zu senden, und legt dann einen Backdoor-Injektor in der Datei wp-crons.php ab.

Wenn der Angreifer die E-Mail erhält, die ihn darüber informiert, dass das Plugin installiert wurde, kann er zusätzliche Malware in die WordPress-Installation einfügen.

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.