Malware-Infizierung durch Plugin Fancybox-for-WordPress

Das Lightbox Plugin „Fancybox-for-WordPress“ wurde aus dem WordPress.org Repository entfernt, da eine Schadcode-Infizierung über das Plugin dem Angreifer ermöglichte ein bösartiges IFrame von „203koko“ in die Website einzuschleusen.

Tip: Als mögliche Alternative kann das Plugin „Easy FancyBox“ genutzt werden.

Google Chrome Warnmeldung
Google Chrome Warnmeldung

Die Infektion bemerkt der Website-Betreiber am ehesten daran, das die Einstellungen des Plugins zurück gesetzt sind (keine Funktion im Frontend) und im schlimmsten Fall an einer E-Mail von Google, das die Website gesperrt wurde. Interessant ist definitiv jedoch, dass die wenigsten Administratoren den Schadcode selbst im Quellcode finden konnten. Eine Warnmeldung der Browser bekommt die von Google erkannte Website ebenfalls.

Wer infiziert wurde findet bspw. folgende Einträge im Access Log:

46.4.76.174 - - [04/Feb/2015:06:04:50 +0100] "POST /wp-admin/admin-post.php?page=fancybox-for-wordpress HTTP/1.1" 302 454 "-" "Mozilla/5.0 (Windows NT 6.1; rv:12.0) Gecko/20130101 Firefox/11.0"

Beispiel Linuxbefehl zur Durchsuchung der Logs: grep -r -i '/wp-admin/admin-post.php?page=fancybox-for-wordpress' access.log

Um die Infektion zu entfernen können folgende Wege nützlich sein:

  • Wiederherstellung eines Backups (Dateien & Datenbank) vor dem zeitlich ersten Eintrag in den Logfiles
  • Deinstallation des Plugins „Fancybox-for-WordPress“
  • Erneuern der Web-Passwörter (FTP/SFTP/SSH, WordPress Admin, Hoster, etc.)
  • Prüfung des eigenen PC

Weiterer Schutz für die WordPress Installation:

Eine gute Möglichkeit den eigenen Blog vor derartigen Angriffen zu schützen ist eine Sperrung der „anfälligen“ URI´s über die .htaccess Datei.

Dies könnte beispielsweise so aussehen:

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REMOTE_ADDR} !^55.88.99.22$
RewriteCond %{REQUEST_URI} (wp-login.php|wp-admin|_autobackup)
RewriteRule ^.*$ http://127.0.0.1 [R=301,L]
</IfModule>

Mit diesem Code ist es nur noch dem Besucher mit der IP 55.88.99.22 möglich sich anzumelden und die wp-admin URI aufzurufen. Alle anderen Anfragen werden zu sich selbst umgeleitet.

Alternative zum Firefox Addon JSView

Das populäre Firefox Addon JSView ist schon seit geraumer Zeit vom Entwickler aus dem addons.mozilla.org Erweiterungs Repository  entfernt worden.

Trotzdem war es bis zum Update auf Firefox Version 32 funktionstüchtig und über verschiedene Quellen installierbar. Eben ein sehr hilfreiches Tool, was man gerne einsetzt.

Leider ist nun der Tag gekommen, an dem das Plugin seinen Dienst im Zusammenspiel mit der aktuellen Browser Version einstellt. Nach notwendiger Recherche ist jedoch ein ähnliches Addon verfügbar:

Phoenix

von pc-facile.com

Phoenix - Firefox Add-On
Phoenix – Firefox Add-On
  • Anzeige auf einen Blick, wie viele CSS & JavaScript-Dateien es auf einer Seite gibt und wie groß sie sind
  • Betrachten des Codes in Phoenix Editor
  • Code Bereinigung und Minify (Entpacken ist für JavaScript verfügbar)
  • Einzelne Dateien neu in der aktuellen Seite laden (nützlich, wenn eine AJAX Seite lokal debugged wird)
  • CSS, JavaScript und HTML im internen Editor bearbeiten und aktualisieren
  • Laden und Speichern im Phoenix Editor
  • Sehen der HTML- und Erzeugung der HTML-Quelle
  • Echtzeit-Syntax-Highlighting
  • Berechnen der Dateigröße und Dateigrößen Schätzung, wenn der Code GZipped ist

Firefox – Verwendete Schriftarten herausfinden

Ohne zusätzliches Plugin/Add-on ist es im aktuellen Mozilla Firefox (ab Firefox Version 11, getestet unter Version 26.0) möglich, sich die verwendete Schriftart eines HTML-Elements, oder einfach alle verwendeten Schriftarten anzeigen zu lassen.

Besonders nützlich ist es hier, dass auch Schriftarten welche über die CSS-Eigenschaft @font-face eingebunden werden, angezeigt werden. Über diese eingebetteten Webfonts erstellt der Firefox Page-Inspektor (auch Style- oder Webseiten-Inspektor genannt) eine Übersicht wo diese auf dem Server gespeichert sind und welche CSS-Methode gerade greift um diese einzubinden.

Page Inspector Schriftarten

Mit der Tastenkombination [STRG]+[UMSCHALT]+[i], oder wenn man auf den Text – der untersucht werden soll – einen Rechtsklick ausführt und anschließend im Kontext-Menü auf „Element untersuchen (Q)“ klickt, öffnet sich der Inspektor. Man erhält eine Ansicht des HTML´s im linken Bereich und einen Bereich mit Informationen im rechten Teil des Fensters. Wenn man nun Informationen über die eingesetzten Fonts einsehen möchte, gelangt man über einen Klick auf „Schriftarten“ zur gewünschten Übersicht. Hier wird ebenfalls bei Definitionen von eingebetteten non-websafe Fonts der entsprechende Speicher-Pfad der Datei (Beispielsweise woff Dateien) ausgegeben.

Somit ist dieses Entwickler Tool – immer mehr – eine willkommene Abwechslung zum allseits verbreiteten Addon Firebug.

Relative URL in Firefox Lesezeichen

firefox relative url bookmarkFaulheit ist des Programmers Grundeigenschaft. Da ich sehr viel basierend auf Website CMS arbeite und es hier immer wieder die gleichen Aufrufe gibt, um bspw. einen Cache zu löschen oder ein Backend (Administration) aufzurufen kam die Frage auf, ob man nicht einfach ein relatives Leszeichen erstellen kann. Dann würde man eine Seite aufrufen, welche in TYPO3 erstellt wurde und müsste nur noch auf den Button „TYPO3 Backend“ klicken. Viel Interessanter ist es natürlich bei einer längeren URI wie beispielsweise „cachedel.php?group=2&type=html&r=5&t=a„, welche zum Beispiel einen Cache löschen könnte.

Und so geht´s mit den relativen Bookmarks:

  1. Neues Lesezeichen erstellen
  2. Wunschname eintragen (BSP: TYPO3 Backend öffnen)
  3. Folgende Adresse eintragen: javascript:window.location=“###URI###
  4. ###URI### mit der WunschURI ersetzen (BSP: typo3, oder wp-admin)
  5. Speichern und freuen

Durch den javascript Code javascript:window.location wird immer die aktuelle URL als Basis des Aufrufs genutzt. Ein kleiner aber nicht unschöner Hack für den Firefox. ;)

Getestet mit Mozilla Firefox Version 23.0.1