Immer neue Spielchen, immer neue Probleme. Anstatt fleißig und anständig Geld zu verdienen, fallen korrupte Personen in das tiefe Höllenloch, um dort ihr Unwesen zu treiben. Verflucht seien diesen Leute und zwar ganz gewaltig!

Um was geht es?

Betroffen sind Webmaster bei der Installationsroutine des bekannten CMS WordPress, in Verbindung mit der SSL Zertifikatssicherung des Webspaces.

Im Detail:

Es gibt ein kurzes Zeitfenster zwischen dem Hochladen einer neuen WordPress-Seite und dem Abschluss der Installation, wenn der Installer öffentlich verfügbar ist.

Wenn Sie das Hosting und das SSL-Zertifikat einrichten, wird der Datensatz zum neuen Zertifikat in das öffentliche Certificate Transparency Log aufgenommen. Der Angreifer hat wahrscheinlich die Informationen über Ihre neue Website verwendet und die Installation kurz vor Ihnen abgeschlossen, einige Backdoors und Plugins (normalerweise WP File Manager) installiert, den Datenbankserver geändert und seine Aktivitäten versteckt. Ihre Website ist so konfiguriert, dass sie den fremden Datenbankserver verwendet, Sie können den verdächtigen DB_HOST in Ihrer “wp-config” sehen.

Ganz genau (gewöhnlich würde in der WP-Config.php “localhost” zu lesen sein) – so scheint es zu laufen – also Vorsicht bei der nächsten WordPress Installation. Wenn man die obigen Ausführungen beachtet, dann sollte also zuerst WordPress vollständig installiert werden und erst daran anschließend das SSL eingerichtet werden.

 

 

Foto: Denisismagilov – Zitat aus dem Englischen: Vladimir Smitka (Prag)

 

 

 

.