Gemeinsamkeiten zwischen geknackten WP-Blogs

Blog: Ja gut, aber …

WP-Version: 2.2.1

Theme: Intense 1.0 (selbst eingedeutscht, leicht modifiziert)

Aktivierte PlugIns:

• Akismet 2.0.2
• Audio Player 1.2.3
• Better Comments Manager 1.3
• Brian's Threaded Comments 1.5.12
• Comment Analysis 2.1
• Exec-PHP 3.2
• FeddBurner FeedSmith 2.2
• Follow-URL 1.0
• Link Indication 3.2
• Link Truncator 0.5
• Maintenance Mode 3.2
• Math Comment Spam Protection 2.1
• No Self Pings 0.2
• o42-clean-umlauts 0.2.0
• Pagebar 1.3.2
• Sayfa Sayac - PostReadConter (de) 3.21 de
• Search All 0.3
• semmelstatz 3.0.1
• Simple Tagging 1.6.7
• Subscribe To Comments 2.1.1
• Trackback Validator 0.7.1
• Zap_NewWindow 1.2

Deaktivierte PlugIns:

• Hello Dolly 1.5
• Social Bookmarks 3.2
• Update-Monitor 1.3

Kurze Beschreibung des Hack-Angriffs:

Jeweils im letzten Posting wurde an den Artikel HTML-Code der folgenden Art angehängt:

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

Durch die CSS-Formatierung "height: 0;width: 0" waren die Links bei Ansicht im Browser unsichtbar, einige RSS-Reader stellten sie jedoch dar. Die Spam-Links wurden in kurzen Abständen erneuert.

Ein Verzeichnis 'wp-content/1' wurde nicht angelegt.

(Vorläufige) Lösung des Problems:

Das Administrator-Kennwort wurde geändert. Seither sind keine neuen Spam-Links aufgetreten.

 

Hmm, ich denke/hoffe mal, dass sie in das San Francisco auch schon mitbekommen haben. Vielleicht ein denkbarer Grund, warum WP 2.5 noch nicht erschienen ist. Aber das ist reine Spekulation. Auf jeden Fall bleibt abzuwarten, ob während des Releases von 2.5 auf evtl. gestopfte Sicherheitslücken eingegangen wird oder ob zukünftig auch 2.5 Blogs betroffen sind. Dann wurde entweder die Lücke, falls sie in WP enthalten ist, von den Entwicklern nicht entdeckt (und geschlossen) oder es ist, wie schon vermutet, ein Plugin dran schuld.

Nachtrag: Hmm, habe im trac kein entsprechendes Ticket bzgl. Sicherheitslücken gefunden.

 

irgendwo im Seitenquelltext muss sich dann noch ein Snippet verstecken, welches die Funktion r() aufruft. An die Stelle wird dann die Ausgabe der beiden Funktionen gepappt. Die Funktion Decode() enthält vermutlich den, als simple Bytefolge, codierten Linktext.

vG

Arno

 

Wenn man das Codierte "118#97#114#...." da im JavaScript ausführt, steht im Seitenquelltext

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

Soll vermutlich nur verhindern, dass man "frameset" gleich findet...

 

HTML:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

damit wird ein nichtexistentes bild eingebunden, weil es nicht existiert, wird der browser bei eingeschaltetem javascript veranlasst, die funktion

HTML:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

auszuführen.
Diese erzeugt einen "unsichtbaren" frame, in dem als src eine datei gerufen wird, die

HTML:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

offenbar anhand von Keyword, Language und Kategorie sowie referrer und location "erkennt", wo das Blog gecrackt wurde und (wahrscheinlich) den eigentlichen Spaminhalt ausgibt.
Wenn man die Datei mit den Parametern aus dem Beispiel von Hand füttert, erfolgt ein redirect auf http www 888 com (link kaputtgemacht )

 

Grad ergoogled: Letzte Woche gab es diese Diskussion bei wordpress.org, das ist wohl das gleiche Problem...

Inwieweit die eine Lösung gefunden haben, ist mir nicht klar, sehr gesprächig sind die da nicht. Aber so wie es aussieht, gehört ein (vor langer Zeit) gekapertes Benutzer-Passwort (oder sein Coookie) zum Angriff dazu. Von speziellen angreifbaren Plugins ist dort nicht die Rede.

 

gibt es eine einfache Möglichkeit die eigene Seiten schnell auf eventuellen Spam zu checken? Ind er internen Suche werden die URLs ja wohl nicht angezeigt, wenn sie per Script eingebunden sind.

 

Mir ist die Gefahr noch nicht ganz klar.

• Handelt es sich also um WP oder plugin Code?
• Handelt es sich bei den Fällen um Schlamperei bei den Passwörtern?

 

Das soll ja eben durch diesen Beitrag herausgefunden werden.

Sagen wir mal so: wenn du einen bekannten Benutzernamen hast (admin) und dazu vllt noch ein recht simples Passwort, dann kannst du deinen Blog auch gleich für die Allgemeinheit öffnen. :mrgreen: Ob das nun mit den entdeckten Angriffen zu tun hat, ist unerheblich. Schwache Benutzernamen/Passworte waren schon immer in jeder Software ein Problem.

 

Ziemlich einfache Methode: Suche in Google nach "site:deineseite.de porn" und "site:deineseite.de poker" und "site:deineseite.de viagra". Damit hast du zwar nicht die Sicherheit, dass dein Blog nicht gehackt wurde - aber wenn du hier Suchtreffer erhältst, bist du auf jeden Fall getroffen :cry:.

Noch besser ist, du setzt gleich einen Google-Alert auf solche Sachen an (ein Tipp von TalkPress).

 

Das ist doch mal ein guterr Tipp.

 

Sorry, aber das sollte man so nicht stehen lassen. Wenn Du da Suchergebnisse hast bist Du noch gar nich getroffen. Solche Wörter finden sich oftmals einfach ein alten Beiträgen in denen man einfach mal drüber gebloggt hat oder sonstiges. Außerdem wurde in den mir bekannten Fällen kein wirkliches auffälliges Wort verwendet an denen man das ganze festmachen könnte. "Viagra" wurde z.B. (mit gutem Grund) auf die übliche, aus Spammails bekannte weise verschlüsselt (\/|A$G$RA etc.).

Eine solche Suchabfrage sollte also weder Panik noch Sicherheit vermitteln - sie ist eine, eher schlechte Möglichkeit vielleicht irgendwas zu finden. Eine Datenbanksuche nach Patterns wie "visibility: hidden" und ähnlichen Formatierungsstrings dürfte da zielführender sein - das gelbe vom Ei ist sie aber auch nicht.

 

Um Cloaking auf die Schliche zu kommen, ist das aber ein probates Mittel. Viele Viagra-Spammer lassen ihre Viagra-Links ja nur noch anzeigen, wenn der User-Agent des "Betrachters" ein Bot ist... so habe ich z.B., über Yahoo, versteckte Links in meinem Blog gefunden, die ich als menschlicher Betrachter nie zu Gesicht bekommen hätte. :|

 

Ich bin leider ebenfalls betroffen. Habe zur Sicherheit einmal mein Passwort geändert und den admin Account gelöscht.

Zu den Plugins
Aktivierte Plugins:
Akismet 2.0
Cloudy 1.3 BETA
Guestbook Generator 0.8
myGallery 1.4b1
Optimal Title 2.0
semmelstatz 3.0.1

Deaktivierte Plugins:
Follow-URL 1.0
Hello Dolly 1.5
o42-clean-umlauts 0.2.0
Search Everything 3.01
Time Zone 2.1
Update-Monitor 1.3
YiGG WordPress Plugin 1.0

Ich hoffe wir finden das Problem bald.

 

wildrumspekulier

die Passwörter des Adminaccounts waren entweder dasjenige, das bei der Installation vergeben wurde oder ureinfache Worte

 

Also bei mir, was das Passwort betrifft, jedenfalls nicht. Ich schließe mich daher eher der Vermutung an, dass das Cookie ausspioniert wurde. Wie genau, ist jedoch noch unklar.

 

trifft es jeden oder hatte ich bis jetzt nur Glück. Bis Gestern admin als usern ame und 4 Zahlen als passwort.