馃毃 Liebe #Podcast Bubble, wenn nicht schon geschehen wollt ihr so schnell wie m枚glich euer #Podlove Publisher Plugin updaten (4.2.7 ist gefixt). Wir sehen schon die ersten Infektionen. Das wird aktiv ausgenutzt. 馃毃
Die Kurzzusammenfassung: Jeder kann beliebige Dateien in euer #Wordpress einschleusen und ausf眉hren. Das ist der absolute Worst Case.
Ok, wir haben jetzt mehr Infos 眉ber den Infektionsprozess. Es scheint wie folgt auszusehen:
In den Logs sieht man Request in dieser Form:
https://gist.githubusercontent.com/leahoswald/f418da85f642f54bac7cb54db0afadbf/raw/d697854ee9859ccb0ed92f812ec72ebcdcbe6d33/gistfile1.txt
Anschlie脽end gibts ein neues Verzeichnis der Form e5a2599d bzw. "^[a-z0-9]$" im Document Root. Das scheint gerade der beste Weg eine Infektion zu erkennen. #podlove #wordpress
