{"id":259576,"date":"2021-11-18T14:33:12","date_gmt":"2021-11-18T13:33:12","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=259576"},"modified":"2021-11-19T03:29:03","modified_gmt":"2021-11-19T02:29:03","slug":"wordpress-seiten-ber-plugin-gehackt-zeigt-fake-ransomware-forderung-nov-2021","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/11\/18\/wordpress-seiten-ber-plugin-gehackt-zeigt-fake-ransomware-forderung-nov-2021\/","title":{"rendered":"WordPress: Seiten über Plugin gehackt, zeigt Fake-Ransomware-Forderung (Nov. 2021)"},"content":{"rendered":"

\"\"[English<\/a>]Aktuell werden einige Betreiber von WordPress-Seiten auf dem falschen Fu\u00df erwischt. Die betreffenden WordPress-Instanzen zeigen eine Warnung, dass die Seite verschl\u00fcsselt ist. Es wird ein L\u00f6segeld von 0,1 Bitcoin zur Entschl\u00fcsselung gefordert. Die WordPress-Instanz ist aber nicht verschl\u00fcsselt, sondern die Meldung wird \u00fcber ein kompromittiertes Plugin angezeigt.<\/p>\n

<\/p>\n

\"\"Benjamin Martin berichtete<\/a> letzten Freitag (15.11.2021), dass man eine Reihe von Webseiten gefunden habe, die eine Ransomware-Infektion vorgaukeln und eine L\u00f6segeldforderung von 0,1 Bitcoin zur Entschl\u00fcsselung fordern.<\/p>\n

\"Fake<\/p>\n

Google liefert bei einer Suche<\/a> nach \"FOR RESTORE SEND 0.1 BITCOIN\" eine Reihe Treffer (aktuell \u00fcber 400). Ich habe mal einige ausgewiesene Webseiten aufgerufen und bekam die obige Meldung zu sehen.<\/p>\n

\n
SITE ENCRYPTED\r\n\r\nFOR RESTORE SEND 0.1 BITCOIN: 3BkiGYFh6QtjtNCPNNjGwszoqqCka2SDEc\r\n\r\n(create file on site \/unlock.txt with transaction key inside)<\/pre>\n<\/blockquote>\n
Die Forderung bel\u00e4uft sich auf ca. 6.000 US-Dollar zur Entschl\u00fcsselung der Webseite. Gleichzeitig l\u00e4uft auf der Seite vorgeblich ein Timer ab. Da d\u00fcrfte manchem Website-Betreiber das Herz in die Hose rutschen. Aber an dieser Stelle ist keine Panik angebracht und der Forderung sollte man nicht nachkommen. Ein Betroffener hatte den Sicherheitsanbieter Sucuri mit der Bereinigung seiner WordPress-Installation beauftragt. Als die Spezialisten sich das Ganze ansahen, stellten sie fest, dass die WordPress-Instanz nicht verschl\u00fcsselt war.<\/p>\n
.\/wp-content\/plugins\/directorist\/directorist-base.php<\/pre>\n
Bei der Analyse fanden die Forscher heraus, dass die Dateistruktur f\u00fcr das angegebene BitCoin-Konto auf die obige php-Datei zeigt. Das ist aber eine Datei des WordPress Plugin directorist<\/a>.<\/em> Da versucht also jemand \u00fcber eine Sicherheitsl\u00fccke im betreffenden Plugin die WordPress-Seitenbetreiber aufs Glatteis zu locken.<\/p>\n
Die Bereinigung dieser Infektion bestand in diesem Fall darin, das genannte Plugin aus dem Verzeichnis wp-content\/plugins <\/em>zu entfernen. Problem war aber, dass anschlie\u00dfend alle Seiten und Beitr\u00e4ge eine 404 Not Found-Antwort lieferten. Die Schadfunktion hatte die WordPress-Datenbank nach allen Posts und Seiten durchforstet und deren Publishing-Status auf \"Null\" gesetzt. Das l\u00e4sst sich aber mit dem SQL-Befehl:<\/p>\n
UPDATE `wp_posts` SET `post_status` = 'publish' WHERE `post_status` = 'null';<\/pre>\n
r\u00fcckg\u00e4ngig machen. Dort muss dann lediglich noch kontrolliert werden, ob nicht Beitr\u00e4ge drunter waren, deren Post-Status manuell vom Autor ge\u00e4ndert worden sind. Unklar ist, ob der Angriff noch \"in Entwicklung ist\", bei dem das Verschl\u00fcsselungsmodul noch nicht funktionierte. Wer betroffen ist, ist als mit einem blauen Auge davon gekommen. Weitere Details finden sich bei Sucuri im Blog<\/a>.<\/p>\n
Das Plugin direcorist<\/a> wurde vor 2 Tagen auf die Version 7.0.6.2 aktualisiert, so dass die obige Schwachstelle nicht mehr ausgenutzt werden kann. An dieser Stelle aber der Hinweis, dass WordPress-Administratoren die Zahl der Plugins begrenzen und diese aktuell halten sollten. Und es empfiehlt sich ein regelm\u00e4\u00dfiges Backup der WordPress-Installation und der Datenbank, um bei einer Infektion schnell den alten Zustand zur\u00fccksetzen zu k\u00f6nnen.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"
[English]Aktuell werden einige Betreiber von WordPress-Seiten auf dem falschen Fu\u00df erwischt. Die betreffenden WordPress-Instanzen zeigen eine Warnung, dass die Seite verschl\u00fcsselt ist. Es wird ein L\u00f6segeld von 0,1 Bitcoin zur Entschl\u00fcsselung gefordert. Die WordPress-Instanz ist aber nicht verschl\u00fcsselt, sondern die … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,1574],"tags":[4328,4349],"class_list":["post-259576","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-wordpress","tag-sicherheit","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/259576","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=259576"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/259576\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=259576"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=259576"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=259576"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}