Visits: 2

Am 27. August 2020 begannen Angriffe auf ein WordPress Plugin WP File Manager (auf deutsch: WP-Dateimanager). Eine Schwachstelle im Plugin führten dazu, dass Angreifer in wp-content/plugins/wp-file-manager/lib/files/ PHP Code ausführen konnten. Zudem wird die Schwachstelle als “kritisch” eingestuft. Das WordPress Plugin WP File Manager Plugin bis zur Version 6.9 hat die Schachstelle – die Entwickler haben mit der aktuellen Version 6.9 das Backdoor entfernt.
Quelle: https://nvd.nist.gov/vuln/detail/CVE-2020-25213

Wichtig: Falls ihr das Plugin WP File Manager im Einsatz habt, bitte dieses unumgänglich auf die neueste Version, aktualisieren.

Bisher sind über 3 Millionen WordPress Installationen davon betroffen. Dabei handelt es sich um einen Zero-Day-Exploit, der rasend schnell auf viele WordPress Seiten durchgeführt wurde.

Was macht dieser WordPress-Hack lowerbeforwarden?

Alle betroffenen WordPress Seiten haben mit einer Redirect Injection zu kämpfen. Ein Besucher wird nach wenigen Sekunden, teilweise Millisekunden auf eine andere Seite weitergeleitet. Die Weiterleitung wird durch einen Aufruf mit der Adresse location.lowerbeforwarden.ml/s.html gestartet.

Folgende URLs sind für die Weiterleitungen verantwortlich:

  • scripts.lowerbeforwarden.ml/src.js?n=ns1
  • temp.lowerbeforwarden.ml/temp.js?n=nb5
  • location.lowerbeforwarden.ml/s.html
  • directednotconverted.ml/?p=
  • directednotconverted.ml/w_14.js
  • winworker.club/sw/w_11.js

Was muss alles geprüft werden?

Der lowerbeforwarden Hack setzt sich fest in:

  • Dateisystem in .php und .js Dateien
  • Dateisystem entstehen neue .php Dateien wie indexold.php wp-configold.php
  • Skriptteile mit der Weiterleitung mittels Javascript innerhalb der Datenbank in den Tabellen wp_posts oder wp_options
  • Erstellen eines Admin Benutzer im WordPress Backend

Link zur Wiki Anleitung für die Fehlerbehebung

Link zum Entfernen von lowerbeforwarden Weiterleitungen in unserem Wiki Bereich.