neuster WordPress XSS? Gefunden in Datei link-template.php

Bei dem letzten großflächigen Angriff auf WordPress Installationen habe ich mir damals schon Gedanken gemacht, wie man denn schnell mitbekommt, wenn irgendwelche WordPress Core-Dateien ungewollte von irgendwem oder irgendwas geändert werden. Die Lösung hatte ich vor ein paar Monaten schon gepostet.

Heute war es dann soweit!
Auf einem meiner zu betreuenden Server schlug das schöne Skript Alarm:-).

Um 08:31 wurde folgende WordPress-Datei geändert.

-rw-r–r– 1 sites sites 71K Aug  4 09:44 /var/www/html/www.domain.de/web/wp-includes/link-template.php

Interessant zu sehen, dass das Änderungsdatum gut maskiert wurde. Mein Skript die Änderung dennoch registriert hat 🙂

Jetzt zum NEUEN Inhalt der infizierten datei:

Die Datei hat doch tatsächlich eine neue Zeile (Zeilennr. 1241) hinzugekommen, die mit base64_decode und eval umklammert war… Das stinkt doch wirklich nach: „Da hat jemand was zu verbergen“ :-). Die neue Zeile habe ich ganz einfach gefunden, indem ich die aktuelle WordPressdatei mit der auf dem Server verglichen habe. Zum Glück kann das Zend Studio so etwas recht schnell :-).

Die hinzugefügte Zeile beinhaltete PHP Code, welcher von gcounter.cn Malware nachlud und dem User im Browser untzerzujubeln versuchte. Gängige Virenscanner, sowohl Freeware als auch kommerzielle Produkte erkannnten das Übel aber sofort und blockierten den weiteren Zugriff auf die „böse-china-Datei“.

Leider kann ich zum jetzigen Zeitpunkt noch nicht genau sagen, wie der stinkende Code in die Datei kam. Wenn jemand etwas ähnliches bemerkt hat und da schon genaueres weiß, kann er sich ja mal melden.

Hier noch der Screenshot vom bösen Code: