Malware-Infizierung durch Plugin Fancybox-for-WordPress

Das Lightbox Plugin „Fancybox-for-WordPress“ wurde aus dem WordPress.org Repository entfernt, da eine Schadcode-Infizierung über das Plugin dem Angreifer ermöglichte ein bösartiges IFrame von „203koko“ in die Website einzuschleusen.

Tip: Als mögliche Alternative kann das Plugin „Easy FancyBox“ genutzt werden.

Google Chrome Warnmeldung
Google Chrome Warnmeldung

Die Infektion bemerkt der Website-Betreiber am ehesten daran, das die Einstellungen des Plugins zurück gesetzt sind (keine Funktion im Frontend) und im schlimmsten Fall an einer E-Mail von Google, das die Website gesperrt wurde. Interessant ist definitiv jedoch, dass die wenigsten Administratoren den Schadcode selbst im Quellcode finden konnten. Eine Warnmeldung der Browser bekommt die von Google erkannte Website ebenfalls.

Wer infiziert wurde findet bspw. folgende Einträge im Access Log:

46.4.76.174 - - [04/Feb/2015:06:04:50 +0100] "POST /wp-admin/admin-post.php?page=fancybox-for-wordpress HTTP/1.1" 302 454 "-" "Mozilla/5.0 (Windows NT 6.1; rv:12.0) Gecko/20130101 Firefox/11.0"

Beispiel Linuxbefehl zur Durchsuchung der Logs: grep -r -i '/wp-admin/admin-post.php?page=fancybox-for-wordpress' access.log

Um die Infektion zu entfernen können folgende Wege nützlich sein:

  • Wiederherstellung eines Backups (Dateien & Datenbank) vor dem zeitlich ersten Eintrag in den Logfiles
  • Deinstallation des Plugins „Fancybox-for-WordPress“
  • Erneuern der Web-Passwörter (FTP/SFTP/SSH, WordPress Admin, Hoster, etc.)
  • Prüfung des eigenen PC

Weiterer Schutz für die WordPress Installation:

Eine gute Möglichkeit den eigenen Blog vor derartigen Angriffen zu schützen ist eine Sperrung der „anfälligen“ URI´s über die .htaccess Datei.

Dies könnte beispielsweise so aussehen:

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REMOTE_ADDR} !^55.88.99.22$
RewriteCond %{REQUEST_URI} (wp-login.php|wp-admin|_autobackup)
RewriteRule ^.*$ http://127.0.0.1 [R=301,L]
</IfModule>

Mit diesem Code ist es nur noch dem Besucher mit der IP 55.88.99.22 möglich sich anzumelden und die wp-admin URI aufzurufen. Alle anderen Anfragen werden zu sich selbst umgeleitet.