Malware-Infizierung durch Plugin Fancybox-for-WordPress

Das Lightbox Plugin „Fancybox-for-WordPress“ wurde aus dem WordPress.org Repository entfernt, da eine Schadcode-Infizierung über das Plugin dem Angreifer ermöglichte ein bösartiges IFrame von „203koko“ in die Website einzuschleusen.

Tip: Als mögliche Alternative kann das Plugin „Easy FancyBox“ genutzt werden.

Google Chrome Warnmeldung
Google Chrome Warnmeldung

Die Infektion bemerkt der Website-Betreiber am ehesten daran, das die Einstellungen des Plugins zurück gesetzt sind (keine Funktion im Frontend) und im schlimmsten Fall an einer E-Mail von Google, das die Website gesperrt wurde. Interessant ist definitiv jedoch, dass die wenigsten Administratoren den Schadcode selbst im Quellcode finden konnten. Eine Warnmeldung der Browser bekommt die von Google erkannte Website ebenfalls.

Wer infiziert wurde findet bspw. folgende Einträge im Access Log:

46.4.76.174 - - [04/Feb/2015:06:04:50 +0100] "POST /wp-admin/admin-post.php?page=fancybox-for-wordpress HTTP/1.1" 302 454 "-" "Mozilla/5.0 (Windows NT 6.1; rv:12.0) Gecko/20130101 Firefox/11.0"

Beispiel Linuxbefehl zur Durchsuchung der Logs: grep -r -i '/wp-admin/admin-post.php?page=fancybox-for-wordpress' access.log

Um die Infektion zu entfernen können folgende Wege nützlich sein:

  • Wiederherstellung eines Backups (Dateien & Datenbank) vor dem zeitlich ersten Eintrag in den Logfiles
  • Deinstallation des Plugins „Fancybox-for-WordPress“
  • Erneuern der Web-Passwörter (FTP/SFTP/SSH, WordPress Admin, Hoster, etc.)
  • Prüfung des eigenen PC

Weiterer Schutz für die WordPress Installation:

Eine gute Möglichkeit den eigenen Blog vor derartigen Angriffen zu schützen ist eine Sperrung der „anfälligen“ URI´s über die .htaccess Datei.

Dies könnte beispielsweise so aussehen:

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REMOTE_ADDR} !^55.88.99.22$
RewriteCond %{REQUEST_URI} (wp-login.php|wp-admin|_autobackup)
RewriteRule ^.*$ http://127.0.0.1 [R=301,L]
</IfModule>

Mit diesem Code ist es nur noch dem Besucher mit der IP 55.88.99.22 möglich sich anzumelden und die wp-admin URI aufzurufen. Alle anderen Anfragen werden zu sich selbst umgeleitet.

Alternative zum Firefox Addon JSView

Das populäre Firefox Addon JSView ist schon seit geraumer Zeit vom Entwickler aus dem addons.mozilla.org Erweiterungs Repository  entfernt worden.

Trotzdem war es bis zum Update auf Firefox Version 32 funktionstüchtig und über verschiedene Quellen installierbar. Eben ein sehr hilfreiches Tool, was man gerne einsetzt.

Leider ist nun der Tag gekommen, an dem das Plugin seinen Dienst im Zusammenspiel mit der aktuellen Browser Version einstellt. Nach notwendiger Recherche ist jedoch ein ähnliches Addon verfügbar:

Phoenix

von pc-facile.com

Phoenix - Firefox Add-On
Phoenix – Firefox Add-On
  • Anzeige auf einen Blick, wie viele CSS & JavaScript-Dateien es auf einer Seite gibt und wie groß sie sind
  • Betrachten des Codes in Phoenix Editor
  • Code Bereinigung und Minify (Entpacken ist für JavaScript verfügbar)
  • Einzelne Dateien neu in der aktuellen Seite laden (nützlich, wenn eine AJAX Seite lokal debugged wird)
  • CSS, JavaScript und HTML im internen Editor bearbeiten und aktualisieren
  • Laden und Speichern im Phoenix Editor
  • Sehen der HTML- und Erzeugung der HTML-Quelle
  • Echtzeit-Syntax-Highlighting
  • Berechnen der Dateigröße und Dateigrößen Schätzung, wenn der Code GZipped ist