Webseite verlinkte auf Malware

Eben wollte ich auf Twitter einer Followerin einen Link von meiner Seite schicken, rufe die auf dem Smartphone auf, um die Suche zu bedienen und bekomme eine Malwareseite – bzw. Fehlerseiten, weil meine Plugins im Browser die Malware geblockt haben – angezeigt. Herzklopfen! Was ein Scheiß. Vor vielen Jahren hatte ich sowas schon mal, da war die Startseite defaced. Nun war es eine Weiterleitung zu einer Malwareseite.

Per Web-FTP bin ich schnell auf den Server gegangen und habe die Verzeichnisse durchgeschaut. Allerdings schienen alle index.php und .htaccess unangetastet und hatten keine ungewöhnlichen Inhalte. Die Themes schienen es auch nicht zu sein. Auch dort waren die Files nicht angefasst. Der Wechsel auf ein anderes Theme brachte keine Besserung, so dass ich kompromitierte Theme-Dateien augeschlossen habe. Also ein Plugin.

Zunächst geschaut, welche zuletzt aktualisiert wurden und der Reihe nach abgeschaltet. Das brachte aber auch keine Besserung. Letztendlich habe ich die Seite aufgerufen und versucht möglichst schnell das Laden zu stoppen, um den Quelltext anschauen zu können. Das war dann von Erfolg gekrönt und das Tool “WP DSGVO Tools” hat offensichtlich per Javascript entsprechende Weiterleitungen nachgeladen. Zumindest konnte ich die erste Weiterleitung identifizieren. Nachdem ich das DSGVO-Plugin deaktiviert habe, lief dementsprechend die Seite auch wieder. Schnell gelöscht und über die Stirn gewischt. Hatte schon das FTP_Passwort geändert – das scheint gar nicht nötig gewesen zu sein.

Danach Google angeworfen und https://www.egm.at/blog/sicherheitsluecke-in-wp-dsgvo-tools-shapepress-dsgvo/ gefunden. Der Beitrag ist erst von letztem Freitag – da lief meine Seite aber noch, glaube ich. Ich weiß nicht, wann ich zuletzt drauf war. Den Zugriffszahlen nach, kann das Problem noch nicht lange bestanden haben. Auf dem österreichen Blog gibt es auch noch einen weiterführenden Link https://www.pluginvulnerabilities.com/2021/09/22/recently-closed-wordpress-plugin-with-30000-installs-contains-type-of-vulnerability-hackers-target/ Auf das Plugin werde ich wohl verzichten. War jedenfalls eins mit relevanter Userzahl.

Sowas macht mir keinen Spaß.