Spammer schleuste jahrelang Werbung ein

Backdoors in 9 WordPress Plugins gefunden

Vor wenigen Tagen berichteten wir über Backdoors im verbreiteten WordPress Plugin „Display Widgets“. Nun sind weitere Fälle ans Tageslicht gekommen: In mindestens acht anderen Plugins brachte ein Spammer ebenfalls Schadcode unter, um hinterrücks fragwürdige Werbung im großen Stil zu verbreiten. Welche Plugins betroffen sind und wie der Übeltäter vorging, liest du in diesem Artikel.

Der Spammer, welcher von WordFence mittlererweile als Mason Soiza enttarnt wurde, treibt sein Unwesen seit nunmehr mindestens viereinhalb Jahren. Demnach begann er die sogenannte Supply Chain Attack im Mai 2013. Ein ähnlicher Vorfall ereignete sich auch kürzlich im weit verbreiteten Programm CCleaner (heise berichtete). Darunter versteht man den Missbrauch einer Software, die über ein Update Schadcode auf die Systeme oder Websites der Anwender schleust.

Werbenetzwerk schleuste Werbung in betroffene WordPress Sites

Im Falle Soiza wurde ein Werbenetzwerk eingesetzt, um Escort- und Kreditanzeigen bzw. -Links über die infizierten Plugins auf die WordPress Websites der Betroffenen zu schleusen. Dies lies sich der Spammer von seinen Nutzern teilweise sogar durch vage Bedingungswerke absegnen, die jedoch keine genauen Angaben zur Funktionsweise seines Spamnetzwerkes erläuterten. In anderen Fällen injizierte er die ungewollte Werbung durch Backdoors in die von ihm übernommenen Plugins. WordFence enttarnte den Blackhat schließlich über sein Ad Network, IP Adressen und finanzielle Transaktionen.

Diese WordPress Plugins waren betroffen

Einige Plugins wurden von der Sicherheitsfirma WordFence nun als sicher gekennzeichnet, andere wurden komplett aus dem WordPress Repository entfernt. Hierzu kommunizierten die Experten auch mit den ursprünglichen Pluginautoren. Nachfolgend zeigen wir dir, welche Plugins betroffen waren bzw. sind. Die Benutzung erfolg auf eigene Gefahr und sollte unserer Meinung nach gut überdacht werden. In jedem Fall sollte bei weiterer Nutzung ein Update auf die neueste Version erfolgen.

  1. 404 to 301 – sicher.
    Ein Plugin zur automatisierten Verwaltung von 404 Fehlern, das wahlweise andere Statuscodes (wie beispielsweise 301) an die Suchmaschinen Bots ausliefert. Der Spammer kaufte sich im Mai 2016 durch eine PayPal Transaktion beim Pluginautor ein. Unter anderem wurden Links zu Escortservices in UK injiziert. Betroffene Versionen sind 2.2.0 bis 2.2.8. Das Plugin gilt nun wieder als sauber.
  2. Display Widgets – Ein Update sichert bestehende Installationen. Für neue Downloads nicht mehr verfügbar.
    Wir berichteten bereits über dieses weit verbreitete, beliebte Plugin und zeigen dir hier zwei Alternativen auf.
    Die eigentliche Pluginautorin verkaufte Display Widgets im Mai 2017 für 15.000,- USD an Mason Soiza, dieser verschaffte sich kurze Zeit später durch den Einbau einer Backdoor Zugriff auf WordPress Sites, die dieses Plugin einsetzen. Das WordPress.org Team hat indessen reagiert und die Hintertür in einem Update für bestehende Installationen entfernt.
  3. WP Slimstat / Slimstat Analytics – sicher.
    Über 100.000 aktive Installationen zeigen, dass dieses umfangreiche Analysetool relativ beliebt ist. Es kommt mit einem großen Funktionsumfang und erhielt bislang sehr gute Bewertungen.
    Soiza kaufte sich auch hier ein, diesmal über einen anderen Namen aber den selben PayPal Account. Betroffene Versionen von WP Slimstats waren 3.4 bis 4.3.7 im Zeitraum Oktober 2013 bis August 2016. Frühere Versionen erforderten das Bestätigen einer Checkbox, die jedoch keinerlei Information über Spam oder Werbung hervorhob. In späteren Versionen wurde dann lediglich ein dezenter Hinweis auf Werbung gefunden.
  4. WP Maintenance Mode – sicher.
    Ermöglicht das Erstellen von Baustellenseiten mit Timerfunktion. Mit einer halben Million aktiven Installationen ein ausgesprochen beliebtes und weit verbreitetes WordPress Plugin.
    WP Maintenance Mode war von Juni 2013 bis September 2014 in den Versionen 1.8.9 bis 2.0.0 befallen. Der integrierte Code ermöglichte Soiza beliebiges Implementieren von Content auf über 500.000 WordPress Websites. Das Plugin wechselte indessen die Besitzer und gilt seitdem als bereinigt. Jedoch raten wir von der Nutzung ab, lässt sich eine Wartungsseite doch mit recht einfachen Mitteln selbst erstellen.
  5. Menu Image – sicher.
    Ein praktisches Plugin um Bilder in Menüpunkten einzufügen. Auch hier wurden dem Anwender Bedingungen mit vagen Äußerungen bezüglich der (ungewollten) Werbung zur Bestätigung angezeigt. Der Spam über diese Erweiterung fand von Juli bis November 2016. Betroffene Versionen waren 2.6.4 bis 2.7.0. „Menu Image“ gilt seitdem als sicher, wurde aber seitdem auch nicht mehr aktualisiert.
  6. NewStatPress – sicher.
    Ein weiteres Plugin zur Besucheranalyse wenngleich auch mit einem geringeren Funktionsumfang als Slimstat Analytics. Mit über 40.000 Installationen dennoch recht verbreitet.
    NewStatPress lieferte laut WordFence nur von Mai bis Juni 2013 Spam aus. Die eingeschleuste Funktion injizierte wahlweise Code über die WordPress Hooks get_header(), get_sidebar(), wp_head() und wp_footer(). Eine Kontaktanfrage der Sicherheitsexperten an die Pluginautoren blieb ohne Antwort. Wir empfehlen einen Bogen um diese Erweiterung zu machen und eine Alternative wie Slimstats zu nutzen.
  7. Financial Calculator Plugin – sicher.
    Dieses Plugin lieferte angeblich niemals bösartigen Code aus, der Spammer hatte jedoch in der Vergangenheit Zugriff auf das Plugin. Im April 2017 erkaufte er sich diesen, nutzte aber nie die Gelegenheit um Schadcode zu implementieren. Der Zugriff auf den Quellcode vom Financial Calculator Plugin wurde ihm mittlererweile wieder entzogen. Der Pluginautor versichert, dass es keinerlei Backdoors oder Spam enthält.
  8. Weptile Image – Aus WordPress Repository entfernt.
    Dieses Plugin lieferte nur kurze Zeit Content des Spammers aus, da es am Tag des Befalls bereits aus dem Plugin Repository von WordPress entfernt wurde. Das war am 2. Juli 2016.
  9. No Comment – Aus WordPress Repository entfernt.
    Wesentlich länger trieb Soiza sein Unwesen mit diesem mittlererweile komplett verbannten Plugin: Von April 2016 bis einschließlich Oktober 2016 konnte Spam ausgeliefert werden. Betroffen waren alle Versionen ab 1.1.5.

Quelle: Nähere Details können bei WordFence nachgelesen werden.

Fazit – Welche Vorgehensweise wir empfehlen

Diese Fälle haben gezeigt, wie schnell und unbemerkt man ein Zahnrad im Werbesystem eines Spammers werden kann. Auch weit verbreitete, etablierte Plugins können schnell zu erheblichen Sicherheitslöchern werden und über Jahre unbemerkt großen Schaden anrichten. Besonders dann, wenn Pluginautoren durch finanzielle Angebote dazu verleitet werden, Backdoors in ihren Code zu integrieren oder gar ihre Projekte zu veräußern. Auch mangelhafte Sicherheitsvorkehrungen können dazu führen, dass Entwickler unbemerkt Opfer von Angreifern werden.

Plugin Einsatz weitestgehend reduzieren

Wir empfehlen daher den übermäßigen Einsatz von kostenlosen Plugins stark zu reduzieren und nur wirklich notwendige Erweiterungen zu installieren. Häufig gibt es simple Snippets die in die functions.php eingefügt werden können und die gewünschte Funktionalität liefern. Steckt ein finanzielles Interesse hinter der eigenen Website, kann man auch mal Geld in individuell entwickelte Funktionen stecken.

Premium Plugins vor kostenlosen Alternativen?

Auch sollten gegebenenfalls WordPress Premium Plugins den kostenlosen Varianten vorgezogen werden. Autoren, die mit ihrer Arbeit Geld verdienen, neigen naturgemäß weniger dazu, sich auf moralisch verwerfliche Geschäfte einzulassen.

Vorhandene WordPress Erweiterungen überprüfen

Außerdem sollten die eingesetzten Plugins regelmäßig auf ihre Notwendigkeit sowie auf Updates überprüft und ggf. deinstalliert werden. Dabei empfehlen wir insbesondere, die Pluginverzeichnisse und -dateien nach der Deinstallation komplett vom Server zu löschen.

Regelmäßige Backups für Notfälle

Zu guter Letzt sind regelmäßige, automatisierte oder manuelle WordPress Backups zu empfehlen, um befallene Instanzen ggf. auf einen älteren Stand zurücksetzen zu können.

Du bist gefragt!

Warst du ebenfalls von diesen Attacken betroffen? Wie aufgeräumt ist deine Pluginsammlung? Schreib es uns in den Kommentaren!


Kommentare zu "Backdoors in 9 WordPress Plugins gefunden"
  1. pezi schrieb am 23. September 2017, um 00:14 Uhr:

    Hallo und danke für die Zusammenfassung.

    Leider sind zu den meisten Plugins keine Einzelheiten dabei: Warum stehen die überhaupt in der Liste, was ist passiert? usw.
    ( „>Nähere Details können bei WordFence nachgelesen werden – der Link geht nicht. (außerdem ist das keine dt. Site))

    Wir hatten bis vor einigen Monaten WP Slimstat im Einsatz – bis es mir plötzlich „komisch“ vorkam.
    Merkliche Verzögerungen bei der Anzeige, usw. Doch am meisten enttäuschte das eigentlich echt umfangreiche und nützliche Tool, als wir von einem Tag am anderen plötzlich nur mehr zw. 1-10% der sonstigen Zugriffe angezeigt bekamen.

    Da auch andere Statistiken und externe Dienste laufen weiß ich – es gab keinen massiven Besucherrückgang oä. Nur Slimstat zeigte plötzlich völligen Unsinn an. Daher habe ich es deaktiviert – aber nicht deinstalliert, sondern im Gegenteil, stets aktualisiert. (auch in der Hoffnung, eines Tages würde eins der Updates diesen Fehler beheben)
    Jetzt würde es mich schon interessieren, ob wegen Slimstat was passiert sein könnte?

    Kostenpflichtige Plugins usw:
    ja, va. bei komplexeren Sachen, wo guter (deutschsprachiger) Support wichtig ist, ziehe ich diese den Gratis-Tools vor. Oft können die Gratis-Versionen auch viel zu wenig.
    Es ist wie bei den Themes – auch da ist besser ein bezahltes eingesetzt.

    Jedoch meine ich,
    – private Sites könnten jedes Theme einsetzen und müssen nicht unbedingt alle Plugins in kostenpfl. Version haben
    – Business-Sites hingegen sollten schon prof. Plugins, Themes uä. erwägen. Und jene sollten auch bei der Wahl des Hosters, des Servertyps, der Schutzinfrastruktur nicht sparen.

    Egal was man betreibt:
    Wichtig ist Augen auf im Netz, und sich bei Sites wie diese, https://pressengers.de informieren, was sich so tut …

    1. Florian schrieb am 23. September 2017, um 00:33 Uhr:

      Danke für deinen ausführlichen Kommentar, pezi.

      Der Link ist bereits korrigiert. Gerne reiche ich noch nähere Details im Bezug auf die englische Quelle nach.

      Sehr interessant, dass du zu einem der betroffenen Plugins Einblicke liefern kannst. Da du scheinbar keinen tatsächlichen Besucherrückgang hattest, scheinen deine Rankings nicht durch unbemerkte Linkinjektionen oder Werbung beeinträchtigt worden sein.

      Um wirklich sicherzugehen, dass deine Site sauber ist, würde ich eine Überprüfung auf entsprechende Keywords empfehlen. Zum Beispiel über eine „site:“ Abfrage via Google.
      Entsprechende Suchanfragen könnten zum Beispiel so aussehen:
      – „site:deinewebsite.de loan“
      – „site:deinewebsite.de escort“
      usw.

      Deinen Empfehlungen kann ich mich anschließen, insbesonders letzterer 😉

      1. pezi schrieb am 23. September 2017, um 01:01 Uhr:

        Hallo Florian

        „Bezug auf die englische Quelle“
        dh. ein paar eingedeutschte Zusatzinfos zu dem was die dort schreiben?
        Das wär sicher toll. Denn nicht alle können gut englisch und wollen dennoch Websites betreiben.
        Aber in den meisten Foren HEIST es dann: „wennst kein englisch kannst, bist kein Webmaster, such dir andere Hobbys …“ (heist = absichtlich falsch geschrieben (= Forenhinweis))

        Von daher sind Sites wie eure (va. die!) ein großer Mehrwert. Denn ich glaube, es gibt viele, die solche Infos lieber in der Muttersprache lesen wollen. Ok, die Codes sind halt englisch, ist zu akzeptieren. Aber die wenigsten Sitebetreiber pfuschen selber an PHP usw, herum – sondern wollen die Themes, Plugins usw, möglichst gut verstehen und einstellen.

        zT. Werbe – Link – Injektion
        ja, ich glaube unsere Site ist sauber, der Test per Google ist ne gut Idee – und ergab nur gewollte, von unseren Autoren geschriebene Ergebnisse. (da können diese Begriffe schon mal vorkommen, immerhin berichtet man ja über alles mögliche und unmögliche 😉

        Nein, Besucherrückgang hatten wir keinen, im Gegenteil, auch nach 4 Jahren steigts immer noch. Ok, tageweise schwankts schon, je nach Brisanz gewisser Themen. Denke, das ist normal so.

        zT. Slimstat
        ich werde demnächst nach näheren Infos suchen, was da passiert sein könnte. Und wenn alles sauber ist (und bleibt), es auch wieder aktivieren. Denn es ist meiner Meinung nach echt gut.

        1. Florian schrieb am 23. September 2017, um 11:10 Uhr:

          Danke für die weiteren Einblicke, pezi.

          Den Artikel habe ich soeben erweitert mit zusätzlichen Details von der englischen Quelle.

          1. pezi schrieb am 23. September 2017, um 19:39 Uhr:

            Danke!

  2. Severin schrieb am 23. September 2017, um 08:45 Uhr:

    Ich schließe mich der Empfehlung für Premium Plugins an. Denn auch in der Open Source Welt kann nicht alles umsonst sein. Wer eine sichere Lösung will, sollte auf professionelle Lösungen setzen, wo auch jemand dafür garantiert, dass es keine Backdoors gibt. Das gibt’s bei den kostenlosen Lösungen nicht. Denn nem geschenkten Gaul schaut man bekanntlich nicht ins Maul.

    Ganz wichtig ist auch die Anzahl an Plugins auf ein Minimum zu Reduzieren.

  3. pezi schrieb am 9. Oktober 2017, um 00:09 Uhr:

    Achtung – heute meldete MSE zwei lokale Speicherungen von SLIMSTAT als Trojaner!

    Ich habe slimstat ja seit den ua. hier berichteten Vorfällen nicht mehr am Live-Server. Weder auf eigenen Sites noch auf anderen, von uns betreuten Sites. Dort wurden sie soweit als möglich gelöscht und keiner wollte es mehr haben.

    Jedoch verblieb der Ordner der alten, kompromittierten Version auf der lokalen Platte eines Entwicklungsrechners.
    Ebenso ist dort eine testweise neuere Version (4.7.2.2) am XAMPP gespeichert, aber dzt. auch inaktiv.

    Jene Ordner sind natürlich auch von den Backups erfasst und heute hab ich diese ext. Platte (von den Bürorechnern) mal am Heimrechner angehängt, wo eben MSE drauf ist und da schlug das gleich an.

    Interessant daran ist ev., dass es keins der anderen AV-Tools das bemerkt – nur das einfache, ursprüngliche MSE, wie es eben bei Win 7 gerne verwendet wird.
    Möglicherweise ein Fehlalarm, aber ich greif das Plugin nicht mehr an, empfehle es auch keinem mehr weiter. Im Gegenteil …

    Screenshot MSE: https://i.imgur.com/6hmEFyS.jpg

    Frage: Gibts Alternativen, dt.sprachig, mit ähnlichen Umfang? (Außer Google Analytics)

    1. Florian schrieb am 9. Oktober 2017, um 00:52 Uhr:

      Hallo pezi,

      danke für die Warnung sowie den Screenshot.
      Handelt es sich also um die aktuelle Version, in der dein Virenprogramm einen Trojanerfund gemeldet hat?

      Zu deiner Frage:
      Eine gute Alternative zu Google Analytics ist meiner Ansicht nach Piwik. Du hostest es auf deinem Server und erhältst sehr detaillierte Statistiken, die Funktionen sind sehr umfangreich.

      1. pezi schrieb am 9. Oktober 2017, um 01:08 Uhr:

        ja, die letzte Version, wie oben gesagt.
        Die habe ich erst vorige Woche geladen, testweise nur am XAMPP (neu) installiert – aber noch nicht aktiviert.

        Aber ich hab nun weitere Scanner Tests gemacht, auch mit Malwarebytes Tools – nix! Kein Tool schlägt bei keiner slimstat Version an.

        Dies ist ev. echt ein Fehlalarm von MSE. Zumindest bez. der neuen slimstat Version.
        Was fehlt, wäre ein Test mit AVG. Denn der, an sich gute Scanner nervt auch gern Fehlalarmen.
        Aber mittlerweile hab ich hier alles gelöscht, was mit slimstat zusammenhängt.

        Piwik: ok, danke, das probier ich mal

Schreibe einen Kommentar

Pressengers lebt von der Wordpress Community, beteilige dich mit einem Kommentar!
Deine E-Mail Adresse wird nicht veröffentlicht.

Achtung: Mit dem Absenden eines Kommentars erklärst du dich damit einverstanden, dass alle eingegebenen Daten und deine IP-Adresse zum Zweck der Spamvermeidung durch das Programm Akismet in den USA überprüft und gespeichert werden. Weitere Informationen zu Akismet und Möglichkeiten des Widerrufs..