Die Angriffe auf WordPress-Blogs gehen in die zweite Runde

Dies ist ein ziemlich dringendes Thema. Ich habe darüber schon gebloggt, aber ich bin der Meinung, dass das Problem und die Abhilfe so schnell wie möglich bekannt werden muss. Deshalb füge ich hier einfach nochmal den Text ein:

Die jüngsten Cracker-Angriffe auf WordPress gehen in die zweite Runde. Dies ist nicht einfach nur ein Hinweis, sondern ein aktueller und dringender Aufruf an alle Blogger. Mehr dazu weiter unten.

Es ist den kriminellen Crackern nicht nur gelungen, massenhaft Blogs mit Werbung für illegale zu verseuchen, jetzt sorgen sie auch für die massenhafte Verlinkung der übernommenen Blogs durch Trackback-Spam. Dabei wird so vorgegangen, dass die beim Crack hochgeladene Dateien als Ursprung des Trackbacks verwendet werden. Da eine große Breite von regulären und „echten“ WordPress-Blogs von diesen Angriffen betroffen war, erkennt ein Dienst wie Akismet die meisten dieser Trackbacks nicht als Spam. (Allein hier kamen heute über 50 von diesen Trackbacks an, die ich alle händisch als Spam markieren musste. Dass die betroffenen Blogs jetzt als Spamblogs markiert werden, interessiert mich nur wenig.)

Die Trackbacks haben sehr verschiedene Texte in einer großen Bandbreite von Sprachen, aber eine Gemeinsamkeit, die es zumindest ermöglichen sollte, dass diese Seuche nicht in den eigenen Kommentaren erscheint und dort den Verbrechern zuarbeitet. Ein typischer Trackback sieht so aus:

europa casino bonus code | xxxxxx.com/wordpress/wp-content/1/unbegrenztes-freispiel.html

unbegrenztes freispiel…

…

Was allen diesen Trackbacks gemeinsam ist, das ist der Verweis auf ein Verzeichnis wp-content/1 — denn dies ist das Verzeichnis, das bei den Angriffen angelegt wird. Wegen dieses Musters gibt es eine ganz einfache Abhilfe für alle WordPress-Blogger, die von dieser Spam betroffen sind.

Im WordPress-Adminbereich kann man unter Einstellungen > Diskussion in einem Eingabefeld Textfragmente angeben, die dazu führen, dass ein Kommentar in die Moderation gestellt oder als Spam behandelt wird. Das eine Feld ist mit „Kommentarmoderation“ überschrieben, das andere mit „Kommentar-Blacklist“. Ich habe in meine Blacklist den Text „wp-content/1“ aufgenommen, da es mir sehr unwahrscheinlich erscheint, dass diese Zeichenkette in einem regulären Kommentar oder in einem Trackback oder Pingback auftauchen wird. Denn Trackbacks und Pingbacks verweisen regulär auf den Blogeintrag, der den geschriebenen Text referenziert.

Ein solcher Eintrag liegt niemals im Verzeichnis wp-content, und dass jemand eine Permalink-Struktur hat, die diese URL generieren kann, erscheint mir als extrem unwahrscheinlich.

Dringender Aufruf an alle Blogger

Sperrt alle Kommentare, Pingback und Trackbacks, die eine Zeichenkette „wp-content/1“ enthalten. Haltet diese Sperre wenigstens so lange aufrecht, bis das Gröbste vorüber ist. (Das kann aber mehrere Monate dauern.) Ein Blog dient der Mitteilung und Kommunikation und ist keine Geschäftsplattform für Malware-Bastler und Kriminelle.

Wenn jemand dennoch Bedenken hat, dass etwas ungesichtet als Spam verloren gehen könnte, kann er die Zeichenkette alternativ unter „Kommentarmoderation“ eingeben. Damit landen die Beiträge in der Moderation und können bei eventuellen Fehlern freigeschaltet werden.

Angesichts der Vielzahl benutzter Sprachen in den Spams erscheint es mir nicht als sinnvoll, die ganzen typischen Schlüsselwörter in die Moderation zu stellen. Ich habe das zunächst versucht, allerdings nur, um festzustellen, dass „Roulette“ in irgendeiner slawischen Sprache „ruleta“ heißt. Die URLs dieser Spamwelle sind zum Glück so eindeutig, dass man sich helfen kann. Akismet kann hingegen nicht helfen.

 

Nein.

Da auch WP 2.3.3 betroffen ist, habe ich die irreführenden Postings einiger WP-Entwickler ignoriert und in dieser Version nach einer möglichen Lücke gesucht. Bislang ist mir aber noch keine ins Auge gefallen. Die verwendeten Plugins der betroffenen Blogs decken eine große Bandbreite ab, so dass man hierüber auch keinen "Verdächtigen" finden kann.

Ich kann zu diesem Thema nur sagen, dass ich selbst bislang verschont blieb. Das kann Glück sein, es kann aber auch heißen, dass sich eine gewisse Vorsicht bei mir auszahlt. Denn ich setze alle Dateirechte so, dass ein Überschreiben oder Anlegen von Dateien mit den Rechten des Webservers nicht möglich ist, außer im Ordner wp-content/uploads.

Also kurz gesagt: Ich setze Dateien 644 (ich will sie ja noch selbst beim Upload überschreiben können) und Verzeichnisse 755 (außer wp-content/uploads, das kriegt 777). Damit funktionieren zwar einige Plugins nicht (etwa WP Database Backup, das will ein Verzeichnis anlegen), aber bislang wurde meine Installation auch noch nicht korrumpiert. Und für einen Backup der Datenbank habe ich zum Glück einen PHPMyAdmin...

 

So, ich habe Akismet mal über das Kontaktformular über den aktuellen Angriff unterrichtet. Ich weiß nicht, wie lange die brauchen werden, aber ich denke, dass das Gröbste in ein paar Stündchen für die meisten von uns gegessen ist.

 

Das gilt für die Blogs, die ein Verzeichnis wp-content/1 enthalten, die wurden gekapert. Die gegenwärtige Trackback-Flut soll diese gekaperten Blogs verlinken. Das Schlimme an diesen Trackbacks war, dass Akismet sie nicht als Spam erkannt hat. Deshalb habe ich empfohlen, die Zeichenkette wp-content/1 in die Blacklist aufzunehmen.

Über welches Einfallstor diese Angriffe erfolgen, ist zurzeit noch völlig unbekannt. Sie betreffen bis WP 2.2.3 auch die jeweils aktuellsten WP-Versionen. Das ist es ja, was diese von langer Hand vorbereitete Attacke so schlimm macht.

Auf alle Fälle solltest du noch zwei weitere Dinge tun. Wenn es dir möglich ist, lösche den Account "admin", indem du vorher einen anderen Account für einen Administrator anlegst, dich als dieser einloggst und damit den "admin" löschst. Und. Ändere alle Passwörter, denn es ist möglich, dass die Angreifer die Passwörter einsehen konnten.

Ganz viel Text dazu habe ich hier geschrieben: Aktuelle Angriffe auf WordPress-Blogs bei Unser täglich Spam

Die Masche mit den Google Groups ist leider schon etwas älter und die Trackback-Spam für diese Malware-Schleudern ist seit Wochen massiv. Auch dazu habe ich mal etwas geschrieben:
Click here to see video bei Unser täglich Spam

Wenn Akismet regelmäßig oder häufig versagt, kann man sich behelfen, indem man "groups.google" in die Kommentar-Blacklist übernimmt, so wird wenigstens nicht das eigene Blog zu einem Hilfsmittel für Kriminelle.

Ich schätze, dass Akismet bereits auf meine Meldung reagiert hat, aber ich werde mich angesichts des Trackback-Aufkommens hüten, die Zeile aus meiner Blacklist rauszunehmen. Leider wurde mir bis jetzt keine Antwort gemailt. Das muss aber nichts bedeuten, denn ich glaube, dass man dort heute einen ganz besonders schlechten und arbeitsreichen Tag hat. Dieser Trackback-Angriff ist nämlich verheerend wirksam.

Diese Pings gehen auf verschiedene Dienste, die über den geänderten Bloginhalt unterrichtet werden. Natürlich werden solche Dienste nicht nur von interessierten Menschen genutzt, um interessante Texte zu finden, sondern auch von kriminellen Spammern, um aktiv genutzte Blogs für den Missbrauch zu finden. Es ist kaum möglich, das eine zu erlauben und das andere zu unterbinden.

Selbst, wenn nichts angepingt wird: Die Spammer bedienen sich reichlich aus den Suchergebnissen von Google. Wenn man von interessierten Menschen gefunden werden kann, denn kann man immer auch von Spammern gefunden werden.

Übrigens ist der Ping auf rpc.technorati.com meines Erachtens nicht nötig, weil Pingomatic das bereits erledigt. (Lies aber aber besser noch irgendwo nach.)

Das Entfernen der Pings wird ingesamt kaum eine Besserung bringen. Wenn du in deutscher Sprache bloggst und den Webserver vollständig unter Kontrolle hast, könnte allerdings etwas anderes helfen. (Das erfordert Sorgfalt und etwas Einlesen in die Materie.) Du könnest in der Konfiguration des Webservers die IP-Bereiche des asiatischen Raumes sperren. In meinen Blogs kommt aus diesem Bereich ungefähr 60 Prozent des Spams. Wie gesagt, es ist keine Kleinigkeit, und wenn du weißst, dass du "richtige" Leser dort hast (ich habe die zum Beispiel), denn ist dieser Weg nicht gangbar, da er diese Leser aussperrt. Außerdem könnten Spammer dies durch Verwendung von Proxyservern oder des Tor-Netzwerkes aushebeln. Es ist also eine Maßnahme von nur beschränktem Nutzen, über die ich für mich selbst einmal nachgedacht habe.