Wenn der Fehler nicht behoben wird, könnte er es einem Angreifer ermöglichen, unbefugten Administratorzugriff auf betroffene Stores zu erhalten, sagte das Unternehmen in einem Advisory vom 23. März 2023. Er betrifft die Versionen 4.8.0 bis 5.6.1.

Die Entdeckung und Meldung der Schwachstelle wird Michael Mazzolini vom Schweizer Unternehmen für Penetrationstests GoldNetwork zugeschrieben.

Automattic – das Unternehmen hinter WordPress und WooCommerce – veröffentlicht automatische / erzwungene Updates aller Websites, die dieses Plugin verwenden.

Neben der Aktualisierung auf die neueste Version wird Benutzern empfohlen, nach neu hinzugefügten Administratorbenutzern zu suchen und in diesem Fall alle Administratorkennwörter zu ändern und Zahlungsgateway- und WooCommerce-API-Schlüssel zu rotieren.

Der Beitrag Kritischer Fehler im WooCommerce Payments Plugin betrifft mehr als 500.000 WordPress-Sites erschien zuerst auf Websicherheit Malware entfernen.

Update: 03.08.2024. Balada Injector Hacker sind wieder verstärkt unterwegs, und viele Webseiten werden derzeit angegriffen. Oft ist Litespeed Cache schuld, dieses ist zu deaktivieren und dann alle Backdoors zu entfernen.

Update: 18.08.2023. Es gibt noch immer viele Angriffe mit Umleitungen – hauptsächlich wegen der gleichen Probleme mit unsicheren Plugins und fehlende Updates wie vor Monaten!

In ein paar Stunden können wir ihre Website wieder sauber und sicher machen, falls Sie auch betroffen sind!

In diesem Artikel wird untersucht, wie diese Umleitung erfolgt und welche Abweichungen möglich sind. Da die Weiterleitungen nicht immer bei jedem Besuch auftreten (und häufig absichtlich vor Administratoren verborgen sind!), bleibt diese Art von Hack möglicherweise lange Zeit unentdeckt.

Eines ist sicher:
Es müssen dringend Abhilfe-Maßnahmen ergriffen werden, damit

• keine Besucher auf der eigenen Website verloren gehen und
• Ihre Kunden nicht angegriffen werden.

Wenn Sie keine Zeit verlieren möchten, kontaktieren Sie mich einfach für sofortige Hilfe um €145 Fixed-preis.

Domainnamen, die aktiv in WordPress-Weiterleitungen verwendet werden

egocoattell.live

redfiretobind.com

bluefiretobind.com

rdntocdns.com

taskscompletedlists.com

recordsbluemountain.com

roselinetoday.com

bluelitetoday.com

redselectorpage.com

blueselectorpage.com

greenstepcherry.com

bluestepcherry.com

greenfastline.com

specialcraftbox.com

decentralappps.com

linestoget.com

stratosbody.com

quartzquester.top

viqtorywins.com

clickandanalytics.com

predictivdisplay.com

firstblackphase.com

sortyellowapples.com

descriptionscripts.com

scriptsplatform.com

cdn.statisticline.com

desirebluestock.com

actraffic.com

importraffic.com

trackersline.com

violetlovelines.com

specialblueitems.com

weatherpillatform.com

admarketlocation.com

travelfornamewalking.ga

transandfiestas.ga

helpmart.ga

jQueryNS.com

legendarytable.com

greengoplatform.com

transportgoline.com

drakefollow.com

confirmacionsb.com

classicpartnerships.com

specialadves.com

lovegreenpencils.ga

linetoadsactive.com

secondaryinformtrand.com

donatelloflowfirstly.ga

hostingcloud.racing

lowerthenskyactive.ga

lowerbeforwarden.ml

polimer.xyz

deliverygoodstrategies.com

gabriellalovecats.com

watch-video.net

bnmjjwinf292.com

name0fbestway.com

declarebusinessgroup.ga

sinistermousemove.art

url-partners.g2afse.com

buyittraffic.com

cuttraffic.com

puttraffic.com

importtraffic.com

decimalprovehour5.live

trendopportunityfollow.ga

examhome.net

saskmade.net

stat.trackstatisticsss.com

sferverification.com

poponclick.info

train.developfirstline.com

letsmakeparty3.ga

beforwardplay.com

belaterbewasthere.com

waterflowpick24.live

2.8mono.biz

dontstopthismusics.com

lobbydesires.com

blackentertainments.com

fox.trackstatisticsss.com

graizoah.com

asoulrox.com

ofgogoatan.com

stivenfernando.com

fast.destinyfernandi.com

trackstatisticsss.com

check.resolutiondestin.com

dest.collectfasttracks.com

digestcolect.com

verybeatifulantony.com

gotosecond2.com

forwardmytraffic.com

crazytds.club

WordPress-Spam-Weiterleitungen – Verstecke für die Malware

Grundsätzlich können automatische Weiterleitungen in jede vom WordPress-System geladene Datei eingefügt werden.
Darüber hinaus gibt es auch häufige Skriptinjektionen direkt in die Datenbank.
Es gibt verschiedene Verstecke für Spam-Weiterleitungen, die ich in den letzten Monaten gesehen habe:

• Javascript-Injektionen in PHP-Dateien (insbesondere in Theme- und Plugin-Dateien)
• Javascript-Dateien, die am Anfang aller JS-Dateien auf dem Server eingefügt werden
• Skriptinjektionen in Seiten und Artikeln (wp-posts Datenbanktabelle)
• Die URL der Website (wie in der Datenbanktabelle wp-options festgelegt) wurde in die Hacker-Domain geändert
• Geänderte .htaccess-Dateien (häufig in vielen Ordnern)
• Über Werbenetzwerke (gehackte Ad-Server)

Zusätzlich zu den Spam-Weiterleitungen werden immer mehrere Backdoors hinzugefügt, und häufig werden mehrere Administratorbenutzer zu WordPress hinzugefügt, um den Hackern den vollen Zugriff zu ermöglichen, selbst wenn die anfälligen Plugins gepatcht wurden.

Liste anfälliger Plugins

Die überwiegende Mehrheit dieser Angriffe zielt auf Sicherheitslücken ab, die vor Monaten oder sogar Jahren behoben wurden. Wenn Sie eines dieser Plugins auf Ihrer Website installiert haben, stellen Sie sicher, dass Sie das neueste sichere Update verwenden!

• Elementor Pro
• Duplicator
• Hybrid Composer
• Page Builder by SiteOrigin
• ThemeGrill Demo Importer
• NicDark plugins
• Profile Builder
• WP GDPR Compliance
• Coming Soon and Maintenance Mode
• Yellow Pencil Visual Theme Customizer
• Woocommerce User Email Verification
• WP Live Chat Support

Wie vermeide ich diese Probleme?

Wie bei den meisten WordPress-Angriffen besteht die Lösung darin, alle Plugins und den WordPress-Kern regelmäßig zu aktualisieren. Stellen Sie außerdem sicher, dass Sie nicht benötigte Plugins entfernen (und nicht nur deaktivieren).

So stellen Sie Ihre Website wieder her, wenn Sie infiziert wurde

Es gibt 2 Möglichkeiten, eine infizierte Website wiederherzustellen: mit einem Backup oder durch Entfernen aller Malware und Backdoors, durch die Hacker sonst immer wieder zurückkommen.

• Variante 1: Backup einspielen

Da diese Angriffe im Allgemeinen 100 oder sogar 1000 Dateien sowie die Datenbank infizieren, besteht die beste Wiederherstellungsmethode darin, das gesamte WordPress-Verzeichnis zu löschen (stellen Sie sicher, dass Ihre Sicherung in Ordnung ist, bevor Sie dies tun !!) und von einer sauberen Sicherung neu zu installieren. Stellen Sie dann auch Ihre Datenbank aus einer sauberen Sicherung wieder her.

• Variante 2: Entfernen aller Malware und Backdoors

Wenn dies nicht möglich ist, wenden Sie sich an einen Fachmann. Eigenständige Versuche sind wesentlich zeitintensiver und scheitern oft daran, dass man nicht alle aktuellen Tricks der Hacker kennt und nicht alle Backdoors findet.  Mit den richtigen Tools und Kenntnissen kann die Bereinigung in 2 – 3 Stunden abgeschlossen und Ihre Website wieder online gestellt werden!

Ich kann Ihre Website innerhalb weniger Stunden für nur € 145 (+ Mwst) sauber, sicher und wieder online haben – kontaktieren Sie mich jetzt für sofortige Hilfe!

Der Beitrag WordPress gehackt mit Umleitung erschien zuerst auf Websicherheit Malware entfernen.

Diese Sicherheitslücke ist als hochkritisch eingestuft (24 auf Skala bis 25) – ein Sicherheitsupdate steht schon bereit (auch für nicht mehr unterstützte v8.3 und v8.4 gibt es einen Patch).  Auch Drupal 6 und 8.2.x sind bedroht. Wer eine dieser veralteten Versionen einsetzt, muss auf eine aktuelle Version updaten, raten die Entwickler.

Update: 12. April
Laut einer Meldung des Drupal-Projekts laufen bereits (automatisierte) Angriffsversuche gegen anfällige Drupal-Installationen. Seiten, die nicht gepatcht wurden, können schon kompromittiert sein.

Schon gehackt?

Falls ihr schon gehackt geworden sein, können wir sofort helfen um alle Malware und Backdoors zu entfernen.

Einfach anrufen oder Mail schreiben!

Nähere Infos:

CERT.AT Warnung

Der Beitrag Kritische Zero-Day-Lücke in Drupal erschien zuerst auf Websicherheit Malware entfernen.

[CVE-2016-8870] – Core – Benutzer anlegen: Angreifer können diese Sicherheitsanfälligkeit ausnutzen, um neue Benutzer in einem Joomla-System zu erstellen, unabhängig davon, ob die Registrierung aktiviert wurde oder nicht.

[CVE-2016-8869] – Core – Erhöhte Privilegien: Mit der oben genannten Sicherheitsanfälligkeit kann ein Angreifer nicht nur ein Konto in einem anfälligen System registrieren, sondern auch als Administrator registrieren.

Betroffen sind alle Joomla Webseiten von v3.4.4 bis v3.6.3

Jede Joomla! Website, die noch nicht aktualisiert wurde, ist wahrscheinlich bereits kompromittiert.

So erkennen Sie, ob Ihre Joomla-Homepage bereits aufgrund dieser Sicherheitslücke gehackt wurde

• Es gibt einen oder mehrere unbekannte Admin-User

Was kann man tun, wenn unbekannte Admin-User vorhanden sind

• Die gesamte Joomla Installation auf Malware und Backdoors kontrollieren UND
• den User löschen UND
• updaten auf die neueste Joomla Version

Nur den User löschen und updaten, ist ziemlich sicher zu wenig, da die Hacker mit dem neuen User meist auch gleich Backdoors platzieren, über die sie später auch auf anderem Weg Malware auf Ihrer Website platzieren können.

Wenn Sie Hilfe benötigen: Kontaktieren Sie mich!

Nähere Informationen:

Joomla! 3.6.4 Released

Sucuri: Joomla Exploits in the Wild Against CVE-2016-8870 and CVE-2016-8869

Der Beitrag Joomla! Zwei kritische Fehler entdeckt – Webseiten wurden schon gehackt erschien zuerst auf Websicherheit Malware entfernen.

Der Bedrohungsgrad der Lücke wurde mit einem CVSS v2.0 Base Score von 9.3/10 eingestuft. Aufgrund einer mangelnden Überprüfung von Extbase-Aktionen sollen Angreifer Aktionen manipulieren und im schlimmsten Fall auch Schadcode ausführen können.

Upgrade auf die entsprechend angepassten Versionen: 6.2.25 LTS, 7.6.9 LTS und 8.1.2

Ältere TYPO3 Versionen (4.2 und früher) sind von der Sicherheitslücke nicht betroffen.

Komplett Liste der geschlossenen Lücken:
https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2016-014/
https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2016-015/
https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2016-016/
https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2016-017/
https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2016-018/

Der Beitrag Kritische Sicherheitslücke in TYPO3 erschien zuerst auf Websicherheit Malware entfernen.