Malware-Infizierung durch Plugin Fancybox-for-WordPress

Das Lightbox Plugin „Fancybox-for-WordPress“ wurde aus dem WordPress.org Repository entfernt, da eine Schadcode-Infizierung über das Plugin dem Angreifer ermöglichte ein bösartiges IFrame von „203koko“ in die Website einzuschleusen.

Tip: Als mögliche Alternative kann das Plugin „Easy FancyBox“ genutzt werden.

Google Chrome Warnmeldung
Google Chrome Warnmeldung

Die Infektion bemerkt der Website-Betreiber am ehesten daran, das die Einstellungen des Plugins zurück gesetzt sind (keine Funktion im Frontend) und im schlimmsten Fall an einer E-Mail von Google, das die Website gesperrt wurde. Interessant ist definitiv jedoch, dass die wenigsten Administratoren den Schadcode selbst im Quellcode finden konnten. Eine Warnmeldung der Browser bekommt die von Google erkannte Website ebenfalls.

Wer infiziert wurde findet bspw. folgende Einträge im Access Log:

46.4.76.174 - - [04/Feb/2015:06:04:50 +0100] "POST /wp-admin/admin-post.php?page=fancybox-for-wordpress HTTP/1.1" 302 454 "-" "Mozilla/5.0 (Windows NT 6.1; rv:12.0) Gecko/20130101 Firefox/11.0"

Beispiel Linuxbefehl zur Durchsuchung der Logs: grep -r -i '/wp-admin/admin-post.php?page=fancybox-for-wordpress' access.log

Um die Infektion zu entfernen können folgende Wege nützlich sein:

  • Wiederherstellung eines Backups (Dateien & Datenbank) vor dem zeitlich ersten Eintrag in den Logfiles
  • Deinstallation des Plugins „Fancybox-for-WordPress“
  • Erneuern der Web-Passwörter (FTP/SFTP/SSH, WordPress Admin, Hoster, etc.)
  • Prüfung des eigenen PC

Weiterer Schutz für die WordPress Installation:

Eine gute Möglichkeit den eigenen Blog vor derartigen Angriffen zu schützen ist eine Sperrung der „anfälligen“ URI´s über die .htaccess Datei.

Dies könnte beispielsweise so aussehen:

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REMOTE_ADDR} !^55.88.99.22$
RewriteCond %{REQUEST_URI} (wp-login.php|wp-admin|_autobackup)
RewriteRule ^.*$ http://127.0.0.1 [R=301,L]
</IfModule>

Mit diesem Code ist es nur noch dem Besucher mit der IP 55.88.99.22 möglich sich anzumelden und die wp-admin URI aufzurufen. Alle anderen Anfragen werden zu sich selbst umgeleitet.

Kurznotitz: XAMPP mysql Verbindung sehr langsam

Irgendwie hatte man sich schon an die langsame Verbindung von Datenbankverbindungen des XAMPP gewöhnt gehabt.
Irgendwann kommt dann der Zeitpunkt, an dem einen so etwas nervt, man googelt, findet was… und schreibt es nieder, wenn es funktioniert.

Verbindung zum lokalen mysql Server nicht über den Hostnamen „localhost“, sondern über 127.0.0.1

Archive packen und entpacken

Im folgenden gehe ich nur auf die üblichen Verdächtigen ein, welche mir bei meiner täglichen Arbeit begegnen. Das wohl am meisten genutzte Format ist die Kombination von „tar“ und „gzip“ (*.tar.gz) welches Verzeichnisstrukturen und Dateien zusammenfasst und gleichzeitig komprimiert. Unter Linux ist dies der absolute Favorit, da auf einigen Servern ZIP nicht, oder eventuell sogar fehlerhaft installiert ist. Derzeit entpackt der Befehl „unzip“ auf einem 1&1 Server die Dateien beispielsweise alle lowercase (Kleinschrift). Ist es gewünscht ein „tar.gz“ Archiv auf einem Windows Rechner zu entpacken, hilft z.B. das kostenlose 7-Zip.

Dateiendung „ZIP“

ZIP Archiv erstellen:

zip [ARCHIV].zip [VERZEICHNIS][DATEI]

ZIP Archiv entpacken:

unzip [ARCHIV].zip

Dateiendung „TAR“

TAR Archiv erstellen (nicht komprimiert, reine Zusammenfassung):

tar cfv [ARCHIV].tar [VERZEICHNIS][DATEI]

TAR Archiv entpacken:

tar xfv [ARCHIV].tar

Dateiendung „TAR.GZ“

TAR.GZ komprimiertes Archiv erstellen:

tar cfvz [ARCHIV].tar.gz [VERZEICHNIS][DATEI]

TAR.GZ komprimiertes Archiv mit Ausnahmen erstellen:

tar cfvz [ARCHIV].tar.gz [VERZEICHNIS1] [DATEI1] --exclude=[VERZEICHNIS1] [DATEI1]

TAR.GZ dekomprimieren:

tar xfvz [ARCHIV].tar.gz