Blogger aufgepasst: eventuell Schadcode in Plugins
von caschy | 22 Kommentare
Sicherheitslücke bei WordPress. Unter Umständen ist schadhafter Code in die Plugins WPTouch, AddThis oder W3 Total Cache eingeschleust worden. Unter Umständen ist es böswilligenMenschen gelungen, an die Account-Daten der Entwickler zu kommen. Durch eben jene Daten konnten die Leute Code-Änderungen an den Plugins vornehmen, die unter Umständen Sicherheitslücken bedeuten (Zugriff auf euren Server oder das Blog). Wer also in den letzten Tagen eines der Plugins für WordPress installiert oder aktualisiert hat, der sollte es noch einmal von der WordPress-Seite herunterladen und 1:1 austauschen. Mehr zum Thema bei WordPress selber und Heise Security.
Wird geladen ...
Sind die Versionen, welche per autoupdate kommen clean? Hab scho länger keine plugin updates gezogen.
Ahh. Wie ärgerlich. Direkt mal deaktivieren und nachher tauschen.
Seit wann ist das ungefähr?
Also WPtouch und W3 Total Cache habe ich gerade (wieder) über den internen Updater aktualisiert.
ich meine heute morgen oder gestern gab es ein wptouch update. na ja… ich nutze es sowieso nicht. danke trotzdem für die info!
@Gabe
Muss nicht, kann aber. Wer die genannten Plugins so in den letzten 48 Stunden via Autoupdate oder normal geladen hat, sollte sie dringendst ersetzen.
kann man das autoupdate jetzt machen? wird mir grad angeboten. . .
@waldi
Ja, kannst/musst du wieder machen.
@ ocean90: danke
da merkt man wieder, dass man schwere Passwörter benutzen sollte, wenn ich das hier richtig verstehe
Danke für die Info.
„We determined the commits were not from the authors, rolled them back, pushed updates to the plugins, and shut down access to the plugin repository while we looked for anything else unsavory.“ Diese Nachricht ist vom 21.06.2011. Also wurde doch der saubere Code am 21. mit einem Update wieder ausgerollt? Hat man am 21. also ein Update gemacht sollte es doch wieder io sein?
Gruss
Silvan
Selbst Google hatte mich über die Webmaster Tools angeschrieben und darauf hingewiesen.
Die Infos sind mal sehr bescheiden…
*Falls* man eine Plugin-Version mit Backdoor auch nur ein paar Minuten drauf hatte, *kann* was-weiss-ich mittlerweile ebenfalls verseucht sein.
Da hilft auch ein sauberes, neues Plugin nichts mehr, da müsste man die ganze Domain/Server neu aufsetzen.
Oder halt mal wissen, WAS genau da für eine Backdoor war.
Danke für den Hinweis! Habs WPTouch umgehend ausgetauscht.
Hmm Ich bin mir nicht sicher, ob ich in der Zeit ein Update gemacht haben. Gibt es nicht zB den MD5 Hash der Datein mit Backdoor, damit man nachsehen kann, ob man die Backdoor offen hatte?
Puhh, Gott sei dank nutze ich wordpress mobile Edition und cachify stattdessen
Ich hab nen monitoring system (testweise) laufen, jede Änderung wird mit bearbeiterter Datei, bearbeiteter Stelle innerhalb der Datei, wann die Datei geändert wurde und von welcher IP die Verbindung ausging, bei der die Datei geändert wurde angezeigt. Einmal mit dem Login/Logout-Protokoll vergleichen und dann weiß ich schon was wo und wie geändert wurde…
AddThis und WPtouch verwende ich natürlich… ;D
@paradonym:
Das System hört sich interessant an, kannst Du bitte mal genauere Infos geben?
Danke für diesen wichtigen Hinweis, Carsten. Habs gleich mal ausgetauscht.
Hey,
also wenn ich das richtig verstehe, betrifft das nun vorallem die direkt bei WordPress gehosteten Blogs und alle selbstgehosteten nur, wenn man eines dieser Plugins die letzten Tage ge-updated hat, richtig? Denn habe zwar Addthis laufen, aber kürzlich kein Update dafür gemacht.
Moin,
sehe ich das richtig, dass die jetzige WPTouch in der Version 1.9.29 die neue, bereinigte Version ist? Man liest nichts von der Versionsnr. die betroffen sein soll.
Danke und lg
Mac