Versteckte WordPress-Backdoors legen Admin-Konten an

Laut einem Bericht von Securi entdeckten Sicherheitsforscher bei der Bereinigung einer kompromittierten WordPress-Site zwei schädliche Dateien, die offenbar dazu dienten, Administrator-Konten heimlich zu manipulieren. Solche Backdoors werden häufig eingesetzt, um Angreifern dauerhaften Zugriff zu sichern — selbst wenn andere Schadprogramme entdeckt und entfernt werden. Die Dateien waren so getarnt, dass sie wie reguläre WordPress-Komponenten wirkten, ihre Funktion offenbart jedoch bösartige Absichten.

Was wurde gefunden?

Im Bericht von Securi werden zwei auffällige Dateien genannt, die den Angreifern den unbefugten Zugriff ermöglichten:

1. ./wp-content/plugins/DebugMaster/DebugMaster.php — getarnt als Plugin mit dem Namen „DebugMaster Pro“. Der Inhalt der Datei war stark verschlüsselt und wies klare Anzeichen von Schadcode auf.

1. ./wp-user.php — als WordPress-Kerndatei getarnt. Diese Datei ist zwar in ihrer Struktur einfacher, stellt aber ebenfalls eine ernste Bedrohung dar.

2. 

Beide Dateien spielten laut dem Bericht von Securi eine zentrale Rolle bei der unbemerkten Manipulation von Administratorrechten.

Was hat die Malware gemacht?

Die Datei DebugMaster.php fungierte als komplexe, versteckte Hintertür und legte einen geheimen Administrator-Account an.
Die Datei wp-user.php war einfacher, aber direkter: Sie garantierte das Vorhandensein eines bestimmten Administrator-Accounts mit einem bekannten Passwort und stellte sicher, dass dieser Account nach Löschversuchen automatisch neu angelegt wurde.
Zusammen bildeten die Dateien ein robustes System für persistenten Zugriff, das es den Angreifern ermöglichte, die Website zu kontrollieren — etwa zum Einschleusen von Spam, zum Umleiten von Besuchern oder zum Abgreifen von Daten.

Analyse der Malware

1. Gefälschtes Plugin („DebugMaster Pro“)
   Das als „DebugMaster Pro“ getarnte Plugin gab sich als legitimes Entwicklertool aus. Seine versteckten Funktionen erstellten jedoch einen Administrator-Account mit fest kodierten Anmeldedaten. Außerdem enthielt es Mechanismen, um sich aus Plugin-Listen zu verbergen, und Code zum Exfiltrieren gestohlener Informationen an einen Remote-Server. Insgesamt diente es als heimliche Hintertür, während es nach außen harmlos wirkte.

1. wp-user.php
   Diese Datei war technisch einfacher, agierte dafür aber aggressiv: Sie sorgte dafür, dass ein bestimmter Admin-Benutzer mit bekanntem Passwort dauerhaft vorhanden blieb und sich nach Löschversuchen automatisch wiederherstellte.

Dies lässt sich wie folgt entschlüsseln:

Dieser Ausschnitt zwingt WordPress dazu, einen neuen Benutzer namens „help“ mit der Rolle „Administrator“ anzulegen. Wenn der Benutzer bereits existiert, stellt das Skript sicher, dass seine Administratorrechte wiederhergestellt werden.

Dieser einfache Trick ermöglicht es Angreifern, unbemerkt einzudringen, indem sie sich als Plugin tarnen, das Administratoren möglicherweise ignorieren.

Um unentdeckt zu bleiben, entfernte sich das Plugin selbst aus den Plugin-Listen und filterte Benutzeranfragen, um das neu angelegte Administratorkonto zu verbergen:

Dies lässt sich wie folgt entschlüsseln:

Kommunikation mit einem Command & Control (C2)-Server

Die Malware sendet die Details des neuen Administratorkontos an einen externen Server, der von den Angreifern kontrolliert wird.

Dies lässt sich wie folgt entschlüsseln:

Sie verschlüsselt den generierten Benutzernamen, das Passwort, die E-Mail-Adresse und die IP-Adresse des Servers in JSON und codiert diese dann mit Base64.

Anschließend sendet sie diese Informationen an einen Remote-Endpunkt. Die Endpunkt-URL wird ebenfalls mit Base64-Kodierung verschleiert, die zu etwas wie hxxps://kickstar-xbloom[.]info/collect[.]php entschlüsselt wird. Auf diese Weise können die Angreifer sofort die Anmeldedaten des neuen Admin-Benutzers erfahren.

Die Domain wird derzeit von Sicherheitsanbietern bei Virustotal blockiert:

VirusTotal results

Injiziert bösartige Skripte für Besucher und verfolgt Admin-IPs

Die Malware injiziert externen Code in Ihre Website. Diese Skripte werden für alle Besucher geladen, es sei denn, sie sind Administratoren oder ihre IP-Adresse wurde von der Malware ausdrücklich auf die Whitelist gesetzt.

Und das bedeutet:

Dieser Code sammelt und protokolliert die IP-Adressen von Administratoren.

Backdoor-Skript – wp-user.php

Der Zweck dieser Datei besteht darin, ein bestimmtes Administratorkonto zu verwalten. Diese Datei wurde im Stammverzeichnis der Website gefunden.

Es überprüft die vorhandenen WordPress-Benutzer und wenn es den Benutzernamen „help“ findet, löscht es diesen Benutzer und erstellt ihn mit dem vom Angreifer gewählten Passwort neu. Andernfalls erstellt es einfach ein neues Administrator-Konto mit dem Namen „help“. Diese Logik stellte sicher, dass der Angreifer immer Zugriff hatte, unabhängig davon, ob der Website-Besitzer das Konto löschte oder das Passwort änderte. Selbst wenn man versuchte, es zu entfernen, würde das Skript den Benutzer bei der nächsten Ausführung sofort neu erstellen.

Anzeichen für eine Kompromittierung

Um festzustellen, ob eine Website von dieser Malware betroffen ist, sollten folgende Punkte überprüft werden:

• Vorhandensein unbekannter Dateien oder Plugins, etwa:

  • ./wp-content/plugins/DebugMaster/DebugMaster.php

  • ./wp-user.php

• Neue oder versteckte Administrator-Konten

• Administratoren, die nach ihrer Entfernung automatisch neu angelegt werden

Auswirkungen der Malware

Beide Dateien sind darauf ausgelegt, Administrator-Konten zu erstellen oder erneut anzulegen. Ihr Aufbau stellt sicher, dass selbst nach einer Bereinigung die bösartigen Benutzer oder der Schadcode wieder auftauchen können. Ohne fachkundige Unterstützung ist eine vollständige Wiederherstellung daher äußerst schwierig.

Die Malware bleibt unauffällig bestehen: Das gefälschte Plugin versteckt sich in der Plugin-Liste und überträgt generierte Anmeldedaten — darunter Benutzername, Passwort, IP-Adresse und Website-URL — an Server, die von den Angreifern kontrolliert werden.

Bereinigung und Schutz

• Schadcode entfernen: Das Verzeichnis des DebugMaster-Plugins sowie die Datei wp-user.php löschen.

• Benutzerkonten prüfen: Verdächtige Administrator-Konten, einschließlich des angelegten Hilfekontos, entfernen.

• Anmeldedaten zurücksetzen: Alle Passwörter für WordPress, FTP, Hosting und Datenbank ändern.

• System aktualisieren: WordPress-Kern, Plugins und Themes auf die neueste Version bringen.

• Datenverkehr überwachen: Serverprotokolle auf Verbindungen zu unbekannten oder verdächtigen Domains prüfen.

Entdecken Sie mehr

---

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky