**Smart Slider 3** für **WordPress**, das auf über 900.000 Websites verwendet wird, war Ziel eines schwerwiegenden Sicherheitsvorfalls, nachdem Hacker sein Update-System gekapert hatten. Das bösartige Update, das speziell die Pro-Version 3.5.1.35 betrifft, wurde am 7. April verbreitet und hat potenziell zahlreiche Websites kompromittiert. Benutzer werden dringend aufgefordert, sofort auf Version 3.5.1.36 zu aktualisieren oder auf 3.5.1.34 oder frühere Versionen zurückzukehren. ### Mehrschichtige Malware Laut einer Analyse von **PatchStack** handelt es sich bei der eingeschleusten Malware um ein hochentwickeltes, mehrschichtiges Toolkit, das in die Hauptdatei des Plugins eingebettet ist. Es behält die normale Funktionalität des Plugins bei, führt aber mehrere kritische Schwachstellen ein: * Nicht authentifizierte Remote-Befehlsausführung über präparierte HTTP-Header. * Authentifizierte Backdoor mit PHP eval und OS-Befehlsausführung. * Automatisierter Diebstahl von Anmeldeinformationen.  *Erstellung eines versteckten Admin-Kontos* *Quelle: PatchStack* ### Persistenzmechanismen Die Malware verwendet mehrere Persistenzschichten, um ihre fortgesetzte Ausführung sicherzustellen, auch nachdem Sicherheitsmaßnahmen ergriffen wurden: * **Verstecktes Admin-Konto:** Erstellung eines versteckten Administrator-Kontos mit Anmeldeinformationen, die in der Datenbank gespeichert sind. * **'mu-plugins'-Verzeichnis:** Erstellung eines 'mu-plugins'-Verzeichnisses und eines Must-Use-Plugins, das sich als legitime Caching-Komponente ausgibt. Diese Plugins werden automatisch geladen und können nicht über das WordPress-Dashboard deaktiviert werden. * **Theme-Backdoor:** Einschleusung einer Backdoor in die *functions.php*-Datei des aktiven Themes, um die Persistenz zu gewährleisten, solange das Theme aktiv bleibt. * **Einschleusung in das *wp-includes*-Verzeichnis:** Eine PHP-Datei, die eine legitime WordPress-Kernklasse imitiert, wird in das *wp-includes*-Verzeichnis eingeschleust. Diese Backdoor ist auf eine `.cache_key`-Datei zur Authentifizierung angewiesen und umgeht Änderungen an den Datenbank-Anmeldeinformationen. ### Joomla-Installationen betroffen Der Anbieter hat eine ähnliche Warnung für **Joomla**-Installationen herausgegeben und erklärt, dass Version 3.5.1.35 des Plugins ein verstecktes Admin-Konto (normalerweise mit dem Präfix *wpsvc_*) erstellen und zusätzliche Backdoors in den Verzeichnissen `/cache` und `/media` installieren kann. Außerdem werden Website-Informationen und Anmeldeinformationen gestohlen. ### Empfohlene Maßnahmen Das bösartige Update wurde am 7. April verbreitet. Das **Smart Slider**-Team empfiehlt, Backups vom 5. April wiederherzustellen, um mögliche Zeitzonenunterschiede zu berücksichtigen. Wenn kein Backup verfügbar ist, entfernen Sie das kompromittierte Plugin und installieren Sie eine saubere Version (3.5.1.36). Administratoren, die die kompromittierte Plugin-Version finden, sollten von einer vollständigen Kompromittierung der Website ausgehen und die folgenden Maßnahmen ergreifen: * Löschen Sie bösartige Benutzer, Dateien und Datenbankeinträge. * Installieren Sie WordPress-Kern, Plugins und Themes aus vertrauenswürdigen Quellen neu. * Rotieren Sie alle Anmeldeinformationen (WP, DB, FTP/SSH, Hosting, E-Mail). * Generieren Sie WordPress-Sicherheitsschlüssel (Salts) neu. * Scannen Sie nach verbleibender Malware und überprüfen Sie die Protokolle. Der Anbieter stellt eine detaillierte manuelle Bereinigungsanleitung für WordPress und Joomla zur Verfügung, einschließlich: * Platzieren der Website in den Wartungsmodus und Erstellen eines Backups. * Entfernen nicht autorisierter Admin-Benutzer. * Entfernen aller bösartigen Komponenten. * Neuinstallation aller Kern-Dateien, Plugins und Themes. * Zurücksetzen aller Passwörter. * Scannen nach zusätzlicher Malware. Zu den abschließenden Empfehlungen gehören die Härtung der Website durch Aktivierung der Zwei-Faktor-Authentifizierung (2FA), die Aktualisierung von Komponenten, die Einschränkung des Admin-Zugriffs und die Verwendung starker, eindeutiger Passwörter.