Hack des Kaswara-WordPress-Plugins April 2021
Im April 2021 melden sich vermehrt Kunden, deren WordPress-Installationen nach dem Laden auf eine externe Seite weiterleiten. Im HTML-Head werden 2 Zeilen injiziert, die ein entferntes Skript nachladen [1] und dann ein lokales ausführen, dessen Quelltext verschleiert wurde.
Ein Download der Installationen und des DB-Dumps bringt auf den ersten Blick nichts zu Tage.
Eine Suche nach dem Host des Skripts bringt uns auf einen neueren Twitter-Post, in dem eigentlich von einem ganz anderen Szenario die Rede ist. Aber nach einigen weiteren Recherchen stoßen wir auf diese Warnung, mit der klar wird, dass das PlugIn Kaswara schuld ist. Wir finden im Code diese Zeile:
'customJSValue'=> stripcslashes(base64_decode(kaswara_get_single_option('customJS'))),</code>
und in der Datenbank in der Tabelle options den Datensatz "kaswara-customJS", der das base64-codierte Stück Code enthält, das wiederum das entfernte Skript nachlädt.
Da die Entwickler von Kaswara offenbar das PlugIn aufgegeben haben, entfernen wir das Plugin und setzen danach aber die Seiten schnell neu auf: Noch ist nicht klar, was noch alles auf dem Server geändert wurde.