🚨 Liebe #Podcast Bubble, wenn nicht schon geschehen wollt ihr so schnell wie möglich euer #Podlove Publisher Plugin updaten (4.2.7 ist gefixt). Wir sehen schon die ersten Infektionen. Das wird aktiv ausgenutzt. 🚨
Die Kurzzusammenfassung: Jeder kann beliebige Dateien in euer #Wordpress einschleusen und ausführen. Das ist der absolute Worst Case.
Ok, wir haben jetzt mehr Infos über den Infektionsprozess. Es scheint wie folgt auszusehen:
In den Logs sieht man Request in dieser Form:
https://gist.githubusercontent.com/leahoswald/f418da85f642f54bac7cb54db0afadbf/raw/d697854ee9859ccb0ed92f812ec72ebcdcbe6d33/gistfile1.txt
Anschließend gibts ein neues Verzeichnis der Form e5a2599d bzw. "^[a-z0-9]$" im Document Root. Das scheint gerade der beste Weg eine Infektion zu erkennen. #podlove #wordpress
@leah Habe zwei Reverse Shells direkt unter wp-admin/ mit dem genannten Pattern gefunden. Beide wurden heute Nacht installiert.
Außerdem eine ./postnews.php im document root, ebenfalls von heute.
Möchte an der Stelle noch https://developer.wordpress.org/cli/commands/core/verify-checksums/ empfehlen.
@mullana okeee das klingt schräg. Im Thread finden sich auch noch ein paar weitere Orte wo sich das Ding eingenistet haben könnte. https://chaos.social/@hexa/115265377871627722
Ich würde jetzt behaupten, dass eher das Updaten einen Scan oder so getriggert hat und es dann deswegen explodiert ist. Klingt für mich auf jeden Fall wahrscheinlicher als das das Podlove Update oder die offiziellen Themes verseucht sind.
@leah Habe zwei Reverse Shells direkt unter wp-admin/ mit dem genannten Pattern gefunden. Beide wurden heute Nacht installiert. Außerdem eine ./postnews.php im document root, ebenfalls von heute. Möchte an der Stelle noch https://developer.wordpress.org/cli/commands/core/verify-checksums/ empfehlen.
dnkbln
Leah
hexa-
Mullana
Phil
zSchön 
Der Brüsseler 🇪🇺
sciencekompass
bike.and.cargo